廣告程序
Trojan-Clicker.Win32.Delf.agz
捕獲時間
2009-9-12
危害等級
高
病毒癥狀
該樣本是使用“MFC”編寫的廣告程序��,由微點主動防御軟件自動捕獲�,采用“UPX”加殼方式����,企圖躲避特征碼掃描,加殼后長度為“61,440 字節”�,圖標為“
”����,病毒擴展名為“exe”,主要通過“文件捆綁”�����、“下載器下載”�、“網頁掛馬”等方式傳播,病毒主要目的為增加指定網址流量和點擊數���。
用戶中毒后,會出現機器運行緩慢�����、網絡速度降低���、出現大量未知進程�����、訪問網站彈出大量廣告等現象。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬���、文件捆綁、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶�����,無須任何設置��,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞����。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒��。如果您沒有將微點主動防御軟件升級到最新版��,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”���,請直接選擇刪除處理(如圖1)��;
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Trojan-Clicker.Win32.Delf.agz”�����,請直接選擇刪除(如圖2)�����。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1��、手動刪除以下文件:
%SystemRoot%\System32\fly1837.dll
%SystemRoot%\system32\flysoft.dll
%SystemRoot%\system32\mbcall.exe
%SystemRoot%\System32\Web.ini
2、手動刪除以下注冊表鍵值:
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Softfy
鍵:HKEY_CLASSES_ROOT\CLsID\{8B55FF8B-57EC-7D8B-0881-FF60EA00000F}
鍵:HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\Explorer\shellexecutehooks\{8B55FF8B-57EC-7D8B-0881-FF60EA00000F}
鍵:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution\[所有劫持]
鍵: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
值: {153FC33C-8D26-4620-ACBA-3371AAC67A23}
數據:flysoft.dll
3�����、手動修改以下注冊表:
鍵: HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
值: StartPage
數據: about:blank
鍵: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
值: Userinit
數據: %SystemRoot%\system32\userinit.exe,
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment
值:path
數據: %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%ProgramFiles%\Common Files\Compuware
鍵: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows
值: PopupMgr
數據:no
變量聲明:
%SystemDriver% 系統所在分區�,通常為“C:\”
%SystemRoot% WINDODWS所在目錄���,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄����,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
(1) 創建注冊表對應鍵值��,安裝病毒初始化及版本相關信息��。
(2) 釋放動態鏈接庫fly1837.dll到%SystemRoot%\System32和%SystemRoot%\System32\dllcache目錄下�。
(3) 獲得進程快照���,查找ravmond.exe進程�,若找到,釋放文件%SystemRoot%\system32\flysoft.dll,通過regsvr32.exe注冊
flysoft.dll。創建線程,通過調用%SystemRoot%\system32\rundll32.exe加載fly1837.dll,并通過修改注冊表�,達
到系統啟動自動運行flysoft.dll的目的���。若ravmond.exe進程不存在,則在D盤創建目錄moccall,設置該目錄為隱藏��,通過修改注
冊表,將路徑D:\moccall添加到系統環境變量中����,將Userinit執行路徑“%SystemRoot%\system32\userinit.exe,”將其內容修改
為“%SystemRoot%\system32\userinit.exe,D:\moccall,”��,實現病毒自啟動。
(4) 加載fly1837.dll后,病毒提升自身權限�����,終止殺毒軟件進程,對大多數反病毒軟件和安全工具做映像劫持�����,并安裝鉤子,截取用戶信息,發送到病毒作者指定網址��。
(5) 釋放文件D:\moccall\mbcall.exe和%SystemRoot%\system32\mbcall.exe�����,并執行%SystemRoot%\system32\mbcall.exe�。通過修改該注冊表對應鍵值�,達到自動運行D:\moccall\mbcall.exe的目的,完成后����,刪除目錄D:\moccall����。
(6) 將截獲的用戶信息和被感染機器的相關信息發送到指定網址,并下載一個資源配置文件到%SystemRoot%\System32\Web.ini,讀取并訪問文件中指定網址,并通過修改注冊表相應鍵值,使啟動IE時自動打開指定網址,并允許瀏覽器能夠彈出窗口,致使當用IE訪問網站時彈出大量廣告���。
(7) 下載新病毒到本地執行,并每隔一段時間對Web.ini配置文件進行更新,完成更多功能�。
(8) 在病毒主程序目錄下創建名為afc9fe2f418b00a0.bat的批處理�����,并執行,刪除病毒自身和afc9fe2f418b00a0.bat。
病毒創建文件:
%SystemRoot%\System32\fly1837.dll
%SystemRoot%\system32\flysoft.dll
%SystemRoot%\system32\mbcall.exe
%SystemRoot%\System32\Web.ini
D:\moccall
D:\moccall\mbcall.exe
X:\afc9fe2f418b00a0.bat (X為病毒主程序所在盤符)
病毒刪除文件:
D:\moccall
D:\moccall\mbcall.exe
X:\afc9fe2f418b00a0.bat (X為病毒主程序所在盤符)
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Softfy
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
SharedTaskScheduler\ {153FC33C-8D26-4620-ACBA-3371AAC67A23}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution\[映像劫持]
HKEY_CLASSES_ROOT\CLsID\{8B55FF8B-57EC-7D8B-0881-FF60EA00000F}
HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\Explorer\shellexecutehooks\
{8B55FF8B-57EC-7D8B-0881-FF60EA00000F}
病毒修改注冊表:
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\StartPage
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\path
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\New Windows\PopupMgr
病毒訪問網絡:
http://www.s***m.com/plug/HtmlPeek.dll
http://www.s***m.com/plug/SoftSize.asp
http://www.s***m.com/CPA/full14/PlugOne/UpdateSoft.asp
http://www.s***m.com/CPA/full14/PlugOne/SoftSize.asp
http://www.s***m.com/CPA/full14/PlugTwo/UpdateSoft.asp
http://www.s***m.com/CPA/full14/PlugTwo/SoftSize.asp
http://www.s***m.com/MainDll/SoftSize.asp
http://www.s***nm.com/MainDll/flymy.dll
http://www.f***yz.com/WebIni3/WebiniUpdate.asp
http://www.f***yz.com/WebIni3/WebIniSize.asp
http://fl***d.com/web/download/
http://www.ha***580.com/XueHu
http://www.f***nload.com
http://www.fy***own.com
http://www.sup***qface.com
http://www.cod***ticle.com
http://www.so***y.com
http://www.h***2580.com
http://www.w***ozhi.com
http://www.fy***z.com
http://www.k***c.cn
