木馬下載器
Trojan-Downloader.Win32.Geral.cx
捕獲時間
2009-11-10
危害等級
高
病毒癥狀
該樣本是使用“C ”編寫的“木馬下載程序”,由微點主動防御軟件自動捕獲,采用“ASPack”加殼方式試圖躲避特征碼掃描,加殼后長度為31,887字節,圖標為“
”,使用“ exe”擴展名,通過網頁木馬、文件捆綁等方式進行傳播,病毒主要目的是下載病毒到客戶機執行。
用戶中毒后,會出現系統以及網絡運行緩慢、安全軟件關閉、出現未知進程等癥狀。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista
傳播途徑
網頁掛馬、文件捆綁、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Trojan-Downloader.Win32.Geral.cx”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1、手動刪除以下文件:
%SystemRoot%\aa4805265.exe
%temp%\ope5.tmp
%temp%\ope6.tmp
%temp%\_uok.bat
%SystemRoot%\system32\scvhost.exe
2、手動刪除以下注冊表鍵:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"360Soft"="C:\\WINDOWS\\system32\\scvhost.exe"
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
1、病毒運行后查找控制臺窗口,若找到就發送消息,使其退出。
2、創建名稱為“Tteesstt…”的互斥量,防止多次運行。
3、創建并調用rundll32.exe加載動態庫文件aa908406t.dll。
4、在動態庫aa908406t.dll中,(1)調整訪問令牌,設置自己為SeDebugPrivilege權限,遍歷進程查找360tray.exe,如果找到,就獲取進程句柄,枚舉進程模塊,獲取360tray.exe路徑,以uninstsp為參數啟動360tray.exe。(2)遍歷進程查找CCENTER.EXE,如果找到就獲取SFC.#5函數地址,去掉%SystemRoot%\system32\drivers\AsyncMac.sys的系統保護,刪除此文件,在目錄釋放同名文件,創建 AsyncMac服務,通過驅動結束其進程。(3)查找并結束大量安全軟件進程:
avp.exe
safeboxtray.exe
360safebox.exe
360tray.exe
antiarp.exe
ekrn.exe
rsagent.exe
mfeann.exe
egui.exe
ravmon.exe
ravmond.exe
ravtask.exe
ccenter.exe
rstray.exe
scanfrm.exe
rav.exe
agentsvr.exe
ccenter.exe
qqdoctor.exe
mcproxy.exe
mcshield.exe
rsnetsvr.exe
naprdmgr.exe
mpfsrv.exe
mpsvc.exe
mpfsrv.exe
mpsvc1.exe
kissvc.exe
kpfwsvc.exe
kmailmon.exe
kavstart.exe
engineserver.exe
kpfw32.exe
kvsrvxp.exe
ccsetmgr.exe
ccevtmgr.exe
defwatch.exe
rtvscan.exe
ccapp.exe
rtvscan.exe
vptray.exe
mcupdmgr.exe
mfevtps.exe
mcsysmon.exe
mcmscsvc.exe
mcagent.exe
vstskmgr.exe
frameworkservice.exe
mcshell.exe
mcinsupd.exe
bdagent.exe
livesrv.exe
vsserv.exe
xcommsvr.exe
ccsvchst.exe
shstat.exe
mctray.exe
udaterui.exe
kavstart.exe
uplive.exe
kwatch.exe
qqdoctorrtp.exe
drupdate.exe
rfwsrv.exe
regguide.exe
mpsvc2.exe
mpmon.exe
mpsvc2.exe
liveupdate360.exe
mpmon.exe
mpsvc2.exe
rssafety.exe
egui.exe
kswebshield.exe
360delays.exe
kswebshield.exe
qutmserv.exe
kaccore.exe
360soft.exe
mgrsvc.exe
kaccore.exe
krnl360svc.exe同時刪除安全軟件相關服務,最后刪除驅動文件AsyncMac.sys。
5、刪除動態庫文件aa908406t.dll,創建并執行文件%SystemRoot%\aa4805265.exe。
6、在aa4805265.exe中,創建名稱為“XETTETT......”互斥量,設置system32和%temp%目錄為完全訪問,停止wscsvc服務,設置自己為SeDebugPrivilege權限,復制%SystemRoot%\system32\wintinet.dll到%temp%目錄下重命名為ope5.com,設置注冊表啟動項,創建線程,每隔50ms查找標題為“windows文件保護”的窗口并設置為隱藏;創建線程,修改hosts文件,訪問統計網址。創建線程,下載病毒列表,根據列表下載病毒到本地執行。
7、拷貝自己為scvhost.exe,創建批處理自我刪除。
病毒創建文件:
%SystemRoot%\system32\aa908406t.dll
%SystemRoot%\aa4805265.exe
%temp%\ope5.tmp
%temp%\ope6.tmp
%temp%\_uok.bat
%SystemRoot%\system32\scvhost.exe
病毒替換文件:
%SystemRoot%\system32\drivers\AsyncMac.sys
病毒刪除文件:
%SystemRoot%\system32\drivers\AsyncMac.sys
%temp%\_uok.bat
%SystemRoot%\system32\aa908406t.dll
病毒創建注冊表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"360Soft"="C:\\WINDOWS\\system32\\scvhost.exe"
病毒訪問網絡:
http://www.***.net/v9/count.asp
http://cn.***.mobi/aa9uje.txt"
http://009-009.***.org/ww/aa1.exe
http://009-009.***.org/ww/aa2.exe
http://009-009.***.org/ww/aa3.exe
http://009-009.***.org/ww/aa4.exe
http://009-009.***.org/ww/aa5.exe
http://009-009.***.org/ww/aa6.exe
http://009-009.***.org/ww/aa7.exe
http://009-009.***.org/ww/aa8.exe
http://009-009.***.org/ww/aa9.exe
http://009-009.***.org/ww/aa10.exe
http://009-009.***.org/ww/aa11.exe
http://009-009.***.org/ww/aa12.exe
http://009-009.***.org/ww/aa13.exe
http://009-009.***.org/ww/aa14.exe
http://009-009.***.org/ww/aa15.exe
http://009-009.***.org/ww/aa16.exe
http://009-009.***.org/ww/aa17.exe
http://009-009.***.org/ww/aa18.exe
http://009-009.***.org/ww/aa19.exe
http://009-009.***.org/ww/aa20.exe
http://009-009.***.org/ww/aa21.exe
http://009-009.***.org/ww/aa22.exe
http://009-009.***.org/ww/aa23.exe
http://009-009.***.org/ww/aa24.exe
http://009-009.***.org/ww/aa25.exe
http://009-009.***.org/ww/aa26.exe
http://009-009.***.org/ww/aa27.exe
http://009-009.***.org/ww/aa28.exe
http://009-009.***.org/ww/aa29.exe
http://009-009.***.org/ww/aa30.exe
http://009-009.***.org/ww/aa32.exe
http://009-009.***.org/ww/aa33.exe
http://009-009.***.org/ww/aa34.exe
http://009-009.***.org/ww/aa35.exe
http://009-009.***.org/ww/aa36.exe
