“機器狗”變種
Trojan-Downloader.Win32.Small.a
捕獲時間
2010-5-22
危害等級
中
病毒癥狀
該樣本是使用“VC ”編寫的木馬下載器�����,由微點主動防御軟件自動捕獲��,采用“UPX”加殼方式����,企圖躲避特征碼掃描��,加殼后長度為“29,695”字節�����,圖標為“
”,病毒擴展名為“exe”�����,主要通過“文件捆綁”����、“下載器下載”�、“網頁掛馬”等方式傳播,病毒主要目的是下載病毒并運行。
用戶中毒后�,會出現系統運行緩慢��、網絡速度降低、出現大量未知進程、殺毒軟件無法啟動等現象。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
網頁木馬、文件捆綁�����、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶���,無須任何設置�����,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞�。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版��,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”�����,請直接選擇刪除處理(如圖1)���;
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本����,微點將報警提示您發現木馬"Trojan-Downloader.Win32.Small.a”����,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1.用正常系統文件替換以下文件:
%SystemRoot%\system32\userinit.exe
%SystemRoot%\system32\drivers\etc\hosts
2.刪除以下程序:
%Temp%\~139385.exe
%SystemRoot%\system32\EZUWP.exe
3.刪除以下注冊表值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
該注冊表項下所有殺軟的映像劫持
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名稱:msconfig
數值:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~139385.exe
變量聲明:
%SystemDriver% 系統所在分區�,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾���,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析:
(1)該樣本帶有偽造數字簽名以迷惑用戶點擊運行,運行后創建名稱為“ffgio”的互斥量防止多個實例運行�����。
(2)查找Windows安全中心服務項“wscsvc”��,若發現則停止該服務項�����。完成后建立進程快照,查找“ekrn”和“egui”的進程是否存在�����,若存在則查找并嘗試關閉“ekrn”服務項����。
(3)查找安全軟件進程:“ras.exe”、“rsmain.exe”、“rsnetsvr.exe”�、“scansrf.exe”���、“ravtask.exe”�、“ccenter,exe”����、“rfwsvr.exe”、“rstray.exe”、“ravmond.exe”、“kpfwsvc.exe”����、“kavstart.exe”�����、“kaccore.exe”�、“kpfw32.exe”、“kissvc.exe”�����、“kwatch.exe”���、“kamilmon.exe”,若找到則關閉相應進程�,同時在注冊表中生成大量安全軟件的映像劫持使殺毒軟件啟動。
(4)創建進程快照�����,查找以下三個進程是否存在:“360tray.exe”���、“safeboxtray.exe”����、“avp.exe”。若存在��,則獲取臨時路徑,創建臨時文件:%Temp%\~0.kx��,并啟動正常系統文件%SystemRoot%\system32\rundll32.exe來調用病毒聲稱的臨時文件��,對應參數為“C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~0.kx,zzz 0240”����。~0.kx生成驅動文件%Temp%\pci.sys并為該文件建立服務項“aav”用以結束上述三個進程����。完成后刪除服務項“aav”和驅動文件%Temp%\pci.sys以及臨時文件%Temp%\~0.kx
(5)獲取臨時路徑并釋放病毒文件%Temp%\~139385.ex(隨機命名)和%Temp%\~139385.exe(隨機命名),并將%Temp%\~139385.exe添加為開機啟動�����。
(6)病毒獲取系統路徑�,新建文件%SystemRoot%\system32\EZUWP.exe(隨機命名)��。完成后創建完成后病毒提升自身權限����,創建名稱為“vb”的服務項中�����,并將%Temp%\~139385.ex添加到該驅動中�,用以感染正常系統文件%SystemRoot%\system32\userinit.exe��,之后刪除服務項和%Temp%\~139385.ex文件
(7)創建名稱為“ao1”的設備���,并控制該設備與%SystemRoot%\system32\EZUWP.exe進行通信����。并運行病毒釋放的程序%Temp%\~139385.exe
(8)最后對egui.exe進行映像劫持����,并設置下次系統啟動時刪除病毒自身。
(9)%Temp%\~139385.exe程序比較自身是否為userinit.exe����,若不是���,則獲取進程快照�,查找“qq.exe”和“cmd.exe”是否存在����。若存在“qq.exe”則獲取相關信息���,連同被感染機器的Mac地址等信息一同發送至指定網址��。若存在“cmd.exe”則結束cmd進程�。該進程將循環獲取進程�,一旦發現“cmd.exe”則立即結束。
(10)訪問指定網址����,將指定文件下載到本地并存儲為%Temp%\~b924b.dat(隨機命名)�,讀取其中內容獲取病毒網站地址�,下載大量病毒以隨機命名存儲到%Temp%路徑下并運行。同時訪問網絡資源,改寫%SystemRoot%\system32\drivers\etc\hosts文件����,屏蔽大量網址�。
(11)收集大量用戶信息��,并發送到指定網址����。
病毒創建文件:
%Temp%\~0.kx
%Temp%\pci.sys
%Temp%\~139385.exe
%Temp%\~139385.ex
%SystemRoot%\system32\EZUWP.exe
病毒刪除文件:
%Temp%\~0.kx
%Temp%\pci.sys
%Temp%\~139385.ex
病毒源程序
病毒修改文件:
%SystemRoot%\system32\userinit.exe
%SystemRoot%\system32\drivers\etc\hosts
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aav
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vb
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名稱:msconfig
數值:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~139385.exe
病毒訪問網絡:
http://yahoo.88***.com:81/inl.txt
http://204.***.207.210:88/00.exe
http://204.***.207.210:88/01.exe
http://204.***.207.210:88/02.exe
http://204.***.207.210:88/03.exe
http://204.***.207.210:88/04.exe
http://204.***.207.210:88/05.exe
http://204.***.207.210:88/06.exe
http://204.***.207.210:88/07.exe
http://204.***.207.210:88/08.exe
http://204.***.207.210:88/09.exe
http://204.***.207.210:88/10.exe
http://204.***.207.210:88/11.exe
http://204.***.207.210:88/12.exe
http://204.***.207.210:88/13.exe
http://204.***.207.210:88/14.exe
http://204.***.207.210:88/15.exe
http://204.***.207.210:88/16.exe
http://204.***.207.210:88/17.exe
http://204.***.207.210:88/18.exe
http://204.***.207.210:88/19.exe
http://204.***.207.210:88/20.exe
http://204.***.207.210:88/21.exe
http://204.***.207.210:88/22.exe
http://204.***.207.210:88/23.exe
http://204.***.207.210:88/24.exe
http://204.***.207.210:88/25.exe
http://204.***.207.210:88/27.exe
http://204.***.207.210:88/28.exe
http://204.***.207.210:88/29.exe
http://204.***.207.210:88/30.exe
http://204.***.207.210:88/31.exe
http://204.***.207.210:88/35.exe
http://204.***.207.210:88/36.exe
http://204.***.207.210:88/38.exe
http://204.***.207.210:88/39.exe
http://204.***.207.210:88/user01.exe
http://204.***.207.210:88/41.exe
