木馬下載器
Trojan-Downloader.Win32.Geral.ais
捕獲時間
2009-8-28
危害等級
高
病毒癥狀
該樣本是使用“VC”編寫的木馬下載器,由微點主動防御軟件自動捕獲,采用“UPX”加殼方式,企圖躲避特征碼掃描,加殼后長度為“32,768 字節 ”,圖標為“
”,病毒擴展名為“exe”,主要通過“文件捆綁”、“下載器下載”、“網頁掛馬”等方式傳播,病毒主要目的為下載大量病毒并運行。
用戶中毒后,會出現大多數殺毒軟件退出和無法正常運行,系統運行緩慢,網絡速度變緩,出現大量未知進程等現象。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬、文件捆綁、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Trojan-Downloader.Win32.Geral.ais”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1、手動恢復以下文件:
拷貝相同版本文件到: %SystemRoot%\system32\drivers\gm.dls
拷貝相同版本文件到: %SystemRoot%\explorer.exe
拷貝相同版本文件到: %SystemRoot%\system32\drivers\etc\hosts
2、手動刪除以下文件:
%SystemRoot%\aa0.exe
%TEMP%\ope2.tmp
%SystemRoot%\temp\explorer.exe
%SystemRoot%\system32\scvhost.exe
X:\_temp.bat (X為病毒主程序所在盤符)
3、手動刪除以下注冊表值:
鍵: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值: 360Soft
數據: %SystemRoot%\system32\scvhost.exe
鍵: HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\[所有劫持]
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
(1)創建互斥體,防止多次運行。
(2)檢查自身是否為Explorer.exe,如果是,則復制%SystemRoot%\system32\drivers\gm.dls到%SystemRoot%\temp\explorer.exe,并 執行%SystemRoot%\temp\explorer.exe。
(3)釋放動態鏈接庫%SystemRoot%\system32\aa0t.dll,創建進程,調用%SystemRoot%\system32\rundll32.exe加載aa0t.dll
(5)提升當前進程權限,獲得進程快照,如果找到進程360tray.exe,將其進程退出;若找到進程CCenter.exe、KAVStart.exe、avp.exe,
去掉%SystemRoot%\system32\drivers\AsyncMac.sys和%SystemRoot%\system32\drivers\aec.sys的文件保護屬性,釋放驅動文件%SystemRoot%\system32\drivers\AsyncMac.sys和%SystemRoot%\system32\drivers\aec.sys,通過加載aec.sys恢復SSDT,加載AsyncMac.sys刪除殺毒軟件相關服務并退出其進程,并對大多數發病毒軟件作映像劫持,使其無法正常運行。通過操作注冊表,刪除所有系統自啟動項鍵值。之后,刪除文件AsyncMac.sys和aec.sys及服務。刪除%SystemRoot%\system32\aa0t.dll。
(6)禁用Windows安全中心和防火墻服務,釋放病毒文件%SystemRoot%\aa0.exe,并執行。
(7)創建互斥體,將%SystemRoot%\system32和%TEMP%目錄訪問權限提升為Everyone完全控制。
(8)提升當前進程權限,將%SystemRoot%\system32\wininet.dll復制到%TEMP%\ope2.tmp(文件名數字部分隨機生成),并加載,獲得網絡相關函數的虛擬地址。
(9)創建線程,循環查找名為"#3770"的窗口,如果沒找到,自動將病毒程序添加到注冊表啟動項。
(10)創建線程,修改%SystemRoot%\system32\drivers\etc\hosts文件,并設置文件屬性為只讀。
(11)創建線程,統計感染主機的操作系統版本、類型、Mac地址和時間,將這些信息發送到指定網址。
(12)解密資源,訪問解密后的目標網址,下載大量病毒到本地執行。
(13) 釋放驅動文件%SystemRoot%\system32\drivers\pcidump.sys,創建服務并加載,感染%SystemRoot%\system32\drivers\gm.dls和%SystemRoot%\explorer.exe文件,完成后,刪除pcidump.sys及服務。
(14)將病毒自身重命名復制到%SystemRoot%\system32\scvhost.exe,通過添加注冊表自啟動項執行該程序。
(15)檢查自身是否為rav32.exe和explorer.exe,如果不是,在病毒主程序同目錄下創建批處理_temp.bat,并執行,刪除自身和_temp.bat。
病毒創建文件:
%SystemRoot%\system32\aa0t.dll
%SystemRoot%\system32\drivers\AsyncMac.sys
%SystemRoot%\system32\drivers\aec.sys
%SystemRoot%\aa0.exe
%TEMP%\ope2.tmp
%SystemRoot%\system32\drivers\pcidump.sys
%SystemRoot%\temp\explorer.exe
%SystemRoot%\system32\scvhost.exe
X:\_temp.bat (X為病毒主程序所在盤符)
病毒修改文件:
%SystemRoot%\system32\drivers\gm.dls
%SystemRoot%\explorer.exe
%SystemRoot%\system32\drivers\etc\hosts
病毒刪除文件:
%SystemRoot%\system32\drivers\AsyncMac.sys
%SystemRoot%\system32\drivers\aec.sys
%SystemRoot%\system32\drivers\pcidump.sys
%SystemRoot%\system32\aa0t.dll
%SystemRoot%\system32\drivers\etc\hosts
X:\_temp.bat (X為病毒主程序所在盤符)
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[映像劫持]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asyncmac
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aec
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\360Soft
病毒刪除注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[所有程序]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asyncmac
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aec
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
病毒訪問網絡:
http://tong***20.com/v15/count.asp
http://1***.com/aa15sb.txt
http://1.ww***d.net/ww/aa1.exe
http://1.ww***d.net/ww/aa2.exe
http://1.ww***d.net/ww/aa3.exe
http://1.ww***d.net/ww/aa4.exe
http://1.ww***d.net/ww/aa5.exe
http://1.ww***d.net/ww/aa6.exe
http://1.ww***d.net/ww/aa7.exe
http://1.ww***d.net/ww/aa8.exe
http://1.ww***d.net/ww/aa9.exe
http://1.ww***d.net/ww/aa10.exe
http://2.ww***d.net/ww/aa11.exe
http://2.ww***d.net/ww/aa12.exe
http://2.ww***d.net/ww/aa13.exe
http://2.ww***d.net/ww/aa14.exe
http://2.ww***d.net/ww/aa15.exe
http://2.ww***d.net/ww/aa16.exe
http://2.ww***d.net/ww/aa17.exe
http://2.ww***d.net/ww/aa18.exe
http://2.ww***d.net/ww/aa19.exe
http://2.ww***d.net/ww/aa20.exe
http://3.ww***d.net/ww/aa21.exe
http://3.ww***d.net/ww/aa22.exe
http://3.ww***d.net/ww/aa23.exe
http://3.ww***d.net/ww/aa24.exe
http://3.ww***d.net/ww/aa25.exe
http://3.ww***d.net/ww/aa26.exe
http://3.ww***d.net/ww/aa27.exe
http://3.ww***d.net/ww/aa28.exe
http://3.ww***d.net/ww/aa29.exe
http://3.ww***d.net/ww/aa30.exe
http://4.ww***d.net/ww/aa31.exe
http://4.ww***d.net/ww/aa32.exe
http://4.ww***d.net/ww/aa33.exe
http://4.ww***d.net/ww/aa34.exe
http://4.ww***d.net/ww/aa35.exe
http://4.ww***d.net/ww/aa36.exe
http://4.ww***d.net/ww/aa40.exe
http://4.ww***d.net/ww/15.exe
