下載者程序
Trojan-Downloader.Win32.Geral.bsq
捕獲時間
2009-12-24
危害等級
中
病毒癥狀
該樣本是使用“Visual C /C”編寫的“后門程序,由微點主動防御軟件自動捕獲,采用“Upack”加殼方式試圖躲避特征碼掃描,加殼后長度為23,552字節,圖標為“
”, 使用“ exe”擴展名,通過網頁木馬、下載器下載、等方式進行傳播。
用戶中毒后,會出現計算機及網絡運行緩慢,殺毒軟件無故退出且無法啟動,出現大量未知進程等現象。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista
傳播途徑
網頁掛馬、文件捆綁、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Trojan-Downloader.Win32.Geral.bsq”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1、手動刪除以下文件:
%SystemRoot%\system32\fcbfe.dll
%SystemRoot%\system32\system.exe
%SystemDriver%\Driver.sys
%SystemRoot%\system32\syste2.dll
%SystemRoot%\system32\Drivers\pcidump.sys
X:\AutoRun.inf
X:\AutoRun.vbs
X:\ system.exe
2、手動刪除以下注冊表:
KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值為system.exe %SystemRoot%\system32\system.exe
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
1.病毒運行后,檢查自己是否為"%SystemRoot%\system32\userinit.exe",如果是就執行"%SystemRoot%explorer.exe";如果不是就釋放動態庫文件"%SystemRoot%\system32\fcbfe.dll"。
2.執行rundll32.exe以abcdef為參數加載fcbfe.dll。
3.病毒檢查自己路徑是否為"%SystemRoot%\system32\",如果不是就拷貝自己到"%SystemRoot%\system32\"并且重命名為system.exe,然后退出當前進程。
4.在fcbfe.dll中,遍歷進程,如果發現進程egui.exe和ekrn.exe,以taskkill命令結束egui.exe和ekrn.exe進程;釋放驅動文件"%SystemDriver%\Driver.sys",創建名稱為"Driver"的服務,通過向設備"\\.\IcyHeart"發送控制碼,恢復SSDT,使安全軟件失效;遍歷進程,如果發現avp.exe和ccenter.exe,就通過驅動結束進程;最后刪除"Driver"服務和驅動"Driver.sys"文件。
5.在fcbfe.dll中遍歷進程,在進程中查找模塊safemon.dll,如果找到就在safemon.dll,就創建創建遠程線程,卸載safemon.dll。
6.釋放動態庫文件"%SystemRoot%\system32\syste2.dll",執行rundll32.exe以Export為參數加載syste2.dll。
7.在syste2.dll創建互斥體SeDebugPrivilege,防止程序二次運行。
8.通過調用命令行停止"wscsvc"服務,比較自己路徑是否為"%SystemRoot%\system32\userinit.exe",如果不是,就釋放驅動文件"%SystemRoot%\system32\Drivers\pcidump.sys",創建名稱為"pcidump"的服務,感染"%SystemRoot%\system32\userinit.exe"文件。
9.在syste2.dll中,創建線程,拷貝"%SystemRoot%\system32\wininet.dll"到"%Temp%目錄下并重命名為4282890.tmp,連接網絡,發送統計信息,下載病毒列表到本地;創建線程,遍歷磁盤釋放AutoRun.inf和AutoRun.vbs,拷貝system.exe到各個分區根目錄下并設置為隱藏。
10.修改注冊表SOFTWARE\Microsoft\Windows\CurrentVersion\Run設置system.exe為自啟動。
病毒創建文件:
%SystemRoot%\system32\fcbfe.dll
%SystemRoot%\system32\system.exe
%SystemDriver%\Driver.sys
%SystemRoot%\system32\syste2.dll
%SystemRoot%\system32\Drivers\pcidump.sys
X:\AutoRun.inf
X:\AutoRun.vbs
X:\ system.exe
[X為任意盤符]
病毒刪除文件:
%SystemDriver%\Driver.sys
病毒修改注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Driver
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
病毒訪問網絡:
http://dww.243542.com/08/count.txt
