木馬下載者
Trojan-Downloader.Win32.Geral.bnp
捕獲時間
2009-12-4
危害等級
中
病毒癥狀
該樣本是使用“Microsoft visual C /C”編寫的“木馬下載者,由微點主動防御軟件自動捕獲,采用“Upack”加殼方式試圖躲避特征碼掃描,加殼后長度為26,286字節,圖標為“
”, 使用“ exe”擴展名,通過網頁木馬、下載器下載、移動介質(如U盤)等方式進行傳播。
用戶中毒后,會出現計算機及網絡運行緩慢,殺毒軟件無故退出且無法啟動,出現大量未知進程等現象。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista
傳播途徑
網頁掛馬、文件捆綁、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“RootKit程序”,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Trojan-Downloader.Win32.Geral.bnp”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1、手動刪除以下文件:
%SystemRoot%\system\5749781.exe
%SystemRoot%\system32\scvhost.exe
%temp%\ope6.exe
2、手動刪除以下注冊表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名稱:360safe
數據:%SystemRoot%\system32\scvhost.exe
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
1.病毒運行后獲取當前系統時間,直到秒數與病毒內部設定的時間相等時才執行后續步驟。
2.搜索進程空間,獲取"LoadLibraryA"和"GetProcAddress"地址,再通過這兩個函數獲取病毒運行所需API地址。
3.創建名稱為"KKaacc..."的互斥量,如果發現病毒以運行,就退出當前進程。
4.設置自己為"SeDebugPrivilege"權限。
5.嘗試打開"ekrn"服務,如果成功就停止該服務,隱藏調用cmd執行taskkill.exe結束ekrn.exe和egui.exe進程。
6.遍歷進程查找rsnetsvr.exe
ccenter.exe
scanfrm.exe
ravmond.exe
ravtask.exe
rsmain.exe
rswsrv.exe
ras.exe
kavstart.exe
kpfw32.exe,如果找到,就通過釋放其內存,是殺毒軟件進程退出。
7.釋放并調用rundll32.exe加載動態庫文件"%SystemRoot%\system32\5496078.dll",最后刪除動態庫文件。
8.在動態庫5496078.dll中,如果存在進程360tray.exe,就拷貝自己為1l1.dll,并將其寫入360tray.exe,通過向名稱為"360SpShadow0"的設備發送控制碼,使360檢測失效。遍歷查找ccenter.exe進程,如果找到就用SFC.#5去掉系統文件保護,替換AsyncMac.sys,創建服務,結束安全軟件進程,最后刪除驅動文件。
9.釋放并以隱藏方式執行 "%SystemRoot%\system32\5749781.exe"。
10.在5749781.exe中,創建名稱為"XETTETT......"的互斥量,設置system32目錄和%temp%目錄為完全控制,停止"wscsvc"服務,提升權限,拷貝wininet.dll為ope6.tmp,設置注冊表啟動項。創建線程,查找并隱藏"windows文件保護"窗口;修改hosts文件,連接網絡,下載病毒列表,根據列表下載盜號木馬盜本地執行。
11.釋放驅動文件"%SystemRoot%\system32\drivers\pcidump.exe",創建名稱為"pcidump"的服務,恢復SSDT,使殺毒軟件失效,刪除服務和驅動文件。
12.拷貝自己為"%SystemRoot%\system32\scvhost.exe",創建批處理自我刪除。
病毒創建文件:
%SystemRoot%\system32\5496078.dll
%SystemRoot%\system\5749781.exe
%SystemRoot%\system32\scvhost.exe
%SystemRoot%\system32\drivers\pcidump.exe
%temp%\ope6.exe
病毒替換文件:
%SystemRoot%\system32\drivers\AsyncMac.sys
病毒刪除文件:
%SystemRoot%\system32\5496078.dll
%SystemRoot%\system32\drivers\pcidump.exe
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名稱:360safe
數據:%SystemRoot%\system32\scvhost.exe
病毒訪問網絡:
http://thanks.*****.net/calc.txt
http://dfadsf.****.net/down/dnf.exe
http://dfadsf.****.net/down/mhzx.exe
http://dfadsf.****.net/down/qq.exe
http://dfadsf.****.net/down/zhan.exe
http://dfadsf.****.net/down/zhan2.exe
http://dfadsf.****.net/down/ddos.exe
