廣告程序
Trojan-Clicker.Win32.Delf.agx
捕獲時(shí)間
2009-9-4
危害等級(jí)
高
病毒癥狀
該樣本是使用“MFC”編寫的廣告程序,由微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲,采用“UPX”加殼方式,企圖躲避特征碼掃描,加殼后長(zhǎng)度為“61,440 字節(jié)”,圖標(biāo)為“
”,病毒擴(kuò)展名為“exe”,主要通過“文件捆綁”、“下載器下載”、“網(wǎng)頁掛馬”等方式傳播,病毒主要目的為增加指定網(wǎng)址流量和點(diǎn)擊數(shù)。
用戶中毒后,會(huì)出現(xiàn)機(jī)器運(yùn)行緩慢、網(wǎng)絡(luò)速度降低、出現(xiàn)大量未知進(jìn)程、訪問網(wǎng)站彈出大量廣告等現(xiàn)象。
感染對(duì)象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網(wǎng)頁木馬、文件捆綁、下載器下載
防范措施
已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶,無須任何設(shè)置,微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級(jí)到最新版本,微點(diǎn)主動(dòng)防御都能夠有效清除該病毒。如果您沒有將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版,微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“未知木馬”,請(qǐng)直接選擇刪除處理(如圖1);
圖1 微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲未知病毒(未升級(jí))
如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版本,微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)"Trojan-Clicker.Win32.Delf.agx”,請(qǐng)直接選擇刪除(如圖2)。
圖2 微點(diǎn)主動(dòng)防御軟件升級(jí)后截獲已知病毒
未安裝微點(diǎn)主動(dòng)防御軟件的手動(dòng)解決辦法:
1、手動(dòng)刪除以下文件:
%SystemRoot%\System32\fly8658.dll
%SystemRoot%\system32\flysoft.dll
%SystemRoot%\system32\micsoft.exe
%SystemRoot%\System32\Web.ini
2、手動(dòng)刪除以下注冊(cè)表鍵值:
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Softfy
鍵:HKEY_CLASSES_ROOT\CLsID\{8B55FF8B-57EC-7D8B-0881-FF60EA00000F}
鍵:HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\Explorer\
shellexecutehooks\{8B55FF8B-57EC-7D8B-0881-FF60EA00000F}
鍵: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
SharedTaskScheduler
值: {153FC33C-8D26-4620-ACBA-3371AAC67A23}
數(shù)據(jù):flysoft.dll
鍵:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution\[所有劫持]
3、手動(dòng)修改以下注冊(cè)表:
鍵: HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
值: StartPage
數(shù)據(jù): about:blank
鍵: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
值: Userinit
數(shù)據(jù): %SystemRoot%\system32\userinit.exe,
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment
值:path
數(shù)據(jù): %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%ProgramFiles%\Common Files\Compuware
鍵: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows
值: PopupMgr
數(shù)據(jù):no
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū),通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時(shí)文件夾,通常為“C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認(rèn)安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
(1) 病毒通過創(chuàng)建注冊(cè)表相應(yīng)鍵值,安裝自身初始化及版本相關(guān)信息。
(2) 釋放動(dòng)態(tài)鏈接庫fly8658.dll到%SystemRoot%\System32\fly8658.dll和%SystemRoot%\System32\dllcache\fly8658.dll。
(3) 獲得進(jìn)程快照,查找ravmond.exe進(jìn)程,若找到,釋放文件%SystemRoot%\system32\flysoft.dll,通過regsvr32.exe注冊(cè)
flysoft.dll。 注冊(cè)成功后,創(chuàng)建線程,通過調(diào)用%SystemRoot%\system32\rundll32.exe加載fly8658.dll, 并通過修改注冊(cè)表,達(dá)
到自動(dòng)運(yùn)行flysoft.dll的目的。若沒有找到ravmond.exe進(jìn)程,則在D盤創(chuàng)建目錄flysoft,設(shè)置該目錄為隱藏,通過修改注冊(cè)表,將
路徑D:\flysoft添加到系統(tǒng)環(huán)境變量中,將Userinit執(zhí)行路徑%SystemRoot%\system32\userinit.exe,修改
為%SystemRoot%\system32\userinit.exe,D:\flysoft,實(shí)現(xiàn)病毒自啟動(dòng)。
(4) 病毒加載fly8658.dll后,提升自身權(quán)限,終止殺毒軟件進(jìn)程,通過創(chuàng)建注冊(cè)表,對(duì)絕大多數(shù)反病毒軟件和工具做映像劫持,并安裝鉤子,截取用戶信息。
(5) 釋放文件D:\micsoft\micsoft.exe和%SystemRoot%\system32\micsoft.exe,并執(zhí)行%SystemRoot%\system32\micsoft.exe。通過修改該注冊(cè)表對(duì)應(yīng)鍵值,達(dá)到自動(dòng)運(yùn)行D:\micsoft\micsoft.exe的目的,完成后,刪除目錄D:\micsoft。
(6) 將截獲的用戶信息和被感染機(jī)器的相關(guān)信息發(fā)送到指定網(wǎng)址,并下載一個(gè)資源配置文件到%SystemRoot%\System32\Web.ini,讀取并訪問文件中指定網(wǎng)址,并通過修改注冊(cè)表相應(yīng)鍵值,使啟動(dòng)IE時(shí)自動(dòng)打開指定網(wǎng)址,并允許瀏覽器能夠彈出窗口,致使當(dāng)用IE訪問網(wǎng)站時(shí)彈出大量廣告。
(7) 下載新病毒到本地執(zhí)行,病毒會(huì)每隔一段時(shí)間對(duì)Web.ini配置文件進(jìn)行更新,完成更多功能。
(8) 在病毒主程序目錄下創(chuàng)建名為afc9fe2f418b00a0.bat的批處理,并執(zhí)行,刪除病毒自身和afc9fe2f418b00a0.bat。
病毒創(chuàng)建文件:
%SystemRoot%\System32\fly8658.dll
%SystemRoot%\system32\flysoft.dll
%SystemRoot%\system32\micsoft.exe
%SystemRoot%\System32\Web.ini
D:\flysoft
D:\flysoft\micsoft.exe
X:\afc9fe2f418b00a0.bat (X為病毒主程序所在盤符)
病毒刪除文件:
D:\flysoft
D:\flysoft\micsoft.exe
X:\afc9fe2f418b00a0.bat (X為病毒主程序所在盤符)
病毒創(chuàng)建注冊(cè)表:
HKEY_LOCAL_MACHINE\SOFTWARE\Softfy
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
SharedTaskScheduler\ {153FC33C-8D26-4620-ACBA-3371AAC67A23}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution\[映像劫持]
HKEY_CLASSES_ROOT\CLsID\{8B55FF8B-57EC-7D8B-0881-FF60EA00000F}
HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\Explorer\
shellexecutehooks\{8B55FF8B-57EC-7D8B-0881-FF60EA00000F}
病毒修改注冊(cè)表:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\StartPage
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\path
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\PopupMgr
病毒訪問網(wǎng)絡(luò):
http://www.s***m.com/plug/HtmlPeek.dll
http://www.s***m.com/plug/SoftSize.asp
http://www.s***m.com/CPA/full14/PlugOne/UpdateSoft.asp
http://www.s***m.com/CPA/full14/PlugOne/SoftSize.asp
http://www.s***m.com/CPA/full14/PlugTwo/UpdateSoft.asp
http://www.s***m.com/CPA/full14/PlugTwo/SoftSize.asp
http://www.s***m.com/MainDll/SoftSize.asp
http://www.s***nm.com/MainDll/flymy.dll
http://www.f***yz.com/WebIni3/WebiniUpdate.asp
http://www.f***yz.com/WebIni3/WebIniSize.asp
http://fl***d.com/web/download/
http://www.ha***580.com/XueHu
http://www.f***nload.com
http://www.fy***own.com
http://www.sup***qface.com
http://www.cod***ticle.com
http://www.so***y.com
http://www.h***2580.com
http://www.w***ozhi.com
http://www.fy***z.com
http://www.k***c.cn
