木馬下載者
Trojan-Downloader.Win32.Agent.cft
捕獲時間
2009-12-7
危害等級
中
病毒癥狀
該樣本是使用“Microsoft visual C /C”編寫的“木馬下載者,由微點主動防御軟件自動捕獲,采用“UPX”加殼方式試圖躲避特征碼掃描,加殼后長度為28,672字節,圖標為“
”, 使用“ exe”擴展名,通過網頁木馬、下載器下載、移動介質(如U盤)等方式進行傳播。
用戶中毒后,會出現計算機及網絡運行緩慢,殺毒軟件無故退出且無法啟動,出現大量未知進程等現象。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista
傳播途徑
網頁掛馬、文件捆綁、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Trojan-Downloader.Win32.Agent.cft”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1、手動刪除以下文件:
%Temp%\~21c9bd.tmp
2、手動刪除以下注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui
3、手動恢復以下文件:
%SystemRoot%\System32\userinit.exe
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
1、病毒運行后創建名稱為"abcz"的互斥量。
2、嘗試打開"wscsvc"服務,如果成功就停止該服務。
3、查找類名稱為"ConsoleWindowClass"的窗口,如果找到就發送消息,使其關閉。
4、遍歷進程查找rstray.exe、rsnetsvr.exe ccenter.exe scanfrm.exe ravmond.exe ravtask.exe rsmain.exe rfwsrv.exe ras.exe kavstart.exe kissvc.exe kamilnon.exe kpfw32.exe kpfwsvc.exe kwatch.exe kaccore.exe等殺毒軟件進程,如果找到就通過釋放其內存,使殺毒軟件退出。
5、創建線程,在此線程中釋放動態庫文件"%Temp%\~15566a.t",查找進程360tray.exe、safeboxtray.exe、avp.exe,如果找到就調用rundll32.exe以"AboutDlgProc 18"為參數加載~15566a.t,最后刪除~15566a.t,退出當前線程。
6、在~15566a.t中,釋放驅動文件"%Temp%\~57225a.t",創建名稱為"ccddc"的服務,查找并結束360tray.exe、safeboxtray.exe進程,最后刪除驅動文件。
7、嘗試打開ekrn服務,如果成功就停止該服務,執行teskkill結束進程ekrn.exe和egui.exe。
8、釋放文件"%Temp%\~20cca1.tmp"和"~21c9bd.tmp"。
9、執行~21c9bd.tmp,在~21c9bd.tmp中,檢查自己是否為userinit.exe,如果不是就創建線程,查找QQ.exe和cmd.exe進程,如果找到QQ進程,就連接網絡,發送感染機器信息到指定地址;如果找cmd.exe進程,就結束該進程,退出該線程;連接網絡,下載病毒列表,根據列表下載病毒,修改hosts文件。
10、嘗試打開名稱為"zx"的服務,如果失敗就創建該服務,服務執行程序為~20cca1.tmp,修改%SystemRoot%\System32\userinit.exe,最后刪除驅動文件~20cca1.tmp。
11、創建egui.exe映像劫持。
病毒創建文件:
%Temp%\~15566a.t
%Temp%\~57225a.t
%Temp%\~20cca1.tmp
%Temp%\~21c9bd.tmp
病毒替換文件:
%SystemRoot%\System32\userinit.exe
%SystemRoot%\System32\drivers\etc\hosts
病毒刪除文件:
%Temp%\~15566a.t
%Temp%\~57225a.t
%Temp%\~20cca1.tmp
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui
病毒訪問網絡:
http://txt.***.com:88/ook.txt
http://txt.***.com:88/ad.jpg
http://d.***.com:88/gr.exe
