木馬下載者
Trojan-Downloader.Win32.Agent.hzi
捕獲時間
2009-12-18
危害等級
中
病毒癥狀
該樣本是使用“Microsoft visual C /C”編寫的“木馬下載者,由微點主動防御軟件自動捕獲,采用“Upack”加殼方式試圖躲避特征碼掃描,加殼后長度為25,088字節,圖標為“
”, 使用“ exe”擴展名,通過網頁木馬、下載器下載、移動介質(如U盤)等方式進行傳播。
用戶中毒后,會出現計算機及網絡運行緩慢,殺毒軟件無故退出且無法啟動,出現大量未知進程等現象。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista
傳播途徑
網頁掛馬、文件捆綁、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Trojan-Downloader.Win32.Agent.hzi”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1、手動刪除以下文件:
%SystemRoot%\system32\cgaeh.dll
%SystemRoot%\system32\system.exe
%SystemRoot%\system32\system.date
%SystemRoot%\system32\syste2.dll
%Tom%\4282890.tmp
X:\AUTORUN.INF
X:\AutoRun.vbs
X:\ system.exe
[X為任意盤符]
2、手動刪除以下注冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Driver
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
3、手動恢復以下文件:
用相同版本替換%SystemRoot%\system32\userinit.exe
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
1.病毒運行檢查自己路徑是否為"%SystemRoot%\system32\userinit.exe",如果是就執行explorer.exe。
2.如果不是就釋放動態庫文件"%SystemRoot%\system32\cgaeh.dll"。
3.執行rundll32.exe以Export為參數加載cgaeh.dll。
4.檢查自己路徑是否為"%SystemRoot%\system32\system.exe",如果不是就拷貝自己為system.exe,然后退出當前進程。
5.在cgaeh.dll中,遍歷進程,如果發現進程egui.exe和ekrn.exe,就調用命令行執行"taskkill.exe /F /IM"結束該進程;釋放驅動文件"%SystemDriver%\Driver.sys",創建名稱為"Driver"的服務,通過向設備"\\.\IcyHeart"發送控制碼,恢復SSDT,使殺軟失效;遍歷進程,如果發現avp.exe和ccenter.exe,就通過驅動結束進程;最后刪除服務和驅動文件。
6.遍歷進程,在進程中查找模塊safemon.dll,如果找到就在safemon.dll所在進程中創建遠程線程,卸載safemon.dll。
7.釋放動態庫文件"%SystemRoot%\system32\syste2.dll",執行rundll32.exe以Export為參數加載syste2.dll。
8.通過調用命令行停止"wscsvc"服務,查看自己路徑是否為"%SystemRoot%\system32\userinit.exe",如果不是,就釋放驅動文件"%SystemRoot%\system32\Drivers\pcidump.sys",創建名稱為"pcidump.sys"的服務,感染"%SystemRoot%\system32\userinit.exe"。
9.在syste32.dll中,創建線程,拷貝"%SystemRoot%\system32\wininet.dll"為"%Tom%\4282890.tmp",獲取所需API,連接網絡,發送統計信息,下載病毒列表到本地;創建線程,遍歷磁盤釋放AUTORUN.INF和AutoRun.vbs,拷貝system.exe到各個分區根目錄下。
病毒創建文件:
%SystemRoot%\system32\cgaeh.dll
%SystemRoot%\system32\system.exe
%SystemRoot%\system32\system.date
%SystemDriver%\Driver.sys
%SystemRoot%\system32\syste2.dll
%Tom%\4282890.tmp
%SystemRoot%\system32\Drivers\pcidump.sys
X:\AUTORUN.INF
X:\AutoRun.vbs
X:\ system.exe
[X為任意盤符]
病毒刪除文件:
%SystemDriver%\Driver.sys
%SystemRoot%\system32\Drivers\pcidump.sys
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Driver
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
病毒修改文件:
%SystemRoot%\system32\userinit.exe
病毒訪問網絡:
http://ddl.***.com/10/count.txt
