木馬下載者
Trojan-Downloader.Win32.Small.cla
捕獲時間
2009-11-29
危害等級
高
病毒癥狀
該樣本是使用“Microsoft visual C\C ”編寫的“木馬下載者”�,由微點主動防御軟件自動捕獲����,采用“UPX”加殼方式試圖躲避特征碼掃描,加殼后長度為29,696字節����,圖標為“
”, 使用“ exe”擴展名�����,通過網頁木馬�、下載器下載的方式進行傳播,病毒主要目的是下載病毒木馬到本地執行�����。
用戶中毒后�,會出現殺毒軟件進程無故退出且無法正常運行��,系統以及網絡運行緩慢��,出現大量可疑進程等癥狀。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista
傳播途徑
網頁掛馬、文件捆綁���、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞�����。無論您是否已經升級到最新版本�,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版���,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1)�����;
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本�����,微點將報警提示您發現"Trojan-Downloader.Win32.Small.cla”�����,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1�、手動刪除以下文件:
%Temp%\~385662.kx
%Temp%\~501826.exe
%SystemRoot%\system32\4Acxv.exe
2�、手動刪除以下注冊表鍵:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution\[安全軟件]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名稱:msconfig
數據:%SystemRoot%\system32\4Acxv.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vb
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aav
3��、手動恢復以下文件:
用同版本文件替換:
%SystemRoot%\system32\drivers\etc\hosts
%SystemRoot%\system32\userinit.exe
變量聲明:
%SystemDriver% 系統所在分區�,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄���,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾�,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
1.病毒運行后創建名稱為“ffgio”的互斥量。
2.動態獲取有關服務的API����,嘗試打開“wsccvs”服務���,如果成功�,就停止該服務�����。
3.遍歷進程查找ekrn.exe和egui.exe�����,如果找就嘗試打開ekrn服務,打開成功就停止該服務���,并調用taskkill結束ekrn.exe和egui.exe進程。
4.遍歷進程查找
360tray.exe
360tray.exe
safeboxtray.exe"
avp.exe,如果找到就釋放動態庫文件"%Temp%\~385662.kx"
5.創建進程����,調用rundll32加載~385662.kx���,嘗試打開“aav”服務�����,如果成功就刪除該服務,釋放驅動文件pci.sys,遍歷進程查找并結束360相關進程�,查找系統托盤圖標��,結束avp.exe進程,創建avp映像劫持,最后刪除驅動文件。
6.釋放~501826.ex和4Acxv.exe�。
7.設置自己為"SeDebugPrivilege"權限���,設置啟動項。
8.創建名稱為“vb”的服務,服務執行程序為~501826.ex,修改userinit.exe��,最后刪除~501826.ex�����。
9.調用WinExec執行~501826.exe���,在~501826.exe中比較自己是否為userinit.exe���,如果不是就創建名稱為“avpv0”的互斥量���,創建線程�����,查找進程QQ.exe和cmd.exe,如果找到QQ.exe就連接網絡��,發送信息���;如果找到cmd.exe����,就發送消息使cmd.exe退出,修改hosts文件����,訪問網絡�,下載病毒列表���,根據列表下載病毒到本地執行�。
10.創建egui映像劫持���。
病毒創建文件:
%Temp%\~385662.kx
%Temp%\pci.sys
%Temp%\~501826.ex
%Temp%\~501826.exe
%SystemRoot%\system32\4Acxv.exe
病毒刪除文件:
%Temp%\~501826.ex
%Temp%\pci.sys
病毒修改文件:
%SystemRoot%\system32\drivers\etc\hosts
%SystemRoot%\system32\userinit.exe
病毒創建注冊表:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution\[安全軟件]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名稱:msconfig
數據:%SystemRoot%\system32\4Acxv.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vb
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aav
病毒訪問網絡:
http://Jpg.cn.***.cn/mac01.txt
http://009.****.cn/hb/0.exe
http://009.****.cn/hb/1.exe
http://009.****.cn/hb/2.exe
http://009.****.cn/hb/3.exe
http://009.****.cn/hb/4.exe
http://009.****.cn/hb/5.exe
http://009.****.cn/hb/36.exe
http://009.****.cn/hb/6.exe
http://009.****.cn/hb/7.exe
http://009.****.cn/hb/8.exe
http://009.****.cn/hb/9.exe
http://009.****.cn/hb/10.exe
http://009.****.cn/hb/11.exe
http://009.****.cn/hb/12.exe
http://009.****.cn/hb/13.exe
http://009.****.cn/hb/14.exe
http://009.****.cn/hb/15.exe
http://009.****.cn/hb/16.exe
http://009.****.cn/hb/17.exe
http://009.****.cn/hb/18.exe
http://009.****.cn/hb/19.exe
http://009.****.cn/hb/20.exe
http://009.****.cn/hb/21.exe
http://009.****.cn/hb/22.exe
http://009.****.cn/hb/23.exe
http://009.****.cn/hb/24.exe
http://009.****.cn/hb/25.exe
http://009.****.cn/hb/27.exe
http://009.****.cn/hb/28.exe
http://009.****.cn/hb/29.exe
http://009.****.cn/hb/30.exe
http://009.****.cn/hb/31.exe
http://009.****.cn/hb/35.exe
http://009.****.cn/hb/38.exe
http://009.****.cn/hb/39.exe
http://009.****.cn/tj/t1.exe
http://009.****.cn/hb/26.exe
