木馬下載器
Trojan-Downloader.Win32.Small.aegh
捕獲時間
2010-11-15
危害等級
中
病毒癥狀
該樣本是使用“Delphi”編寫的木馬程序,由微點主動防御軟件自動捕獲���,采用“FSG”加殼方式試圖躲避特征碼掃描,加殼后長度為“28,045”字節�����,圖標為“
”,病毒擴展名為“exe”,主要通過“文件捆綁”���、“下載器下載”、“網頁掛馬”等方式傳播,病毒主要目的是從指定地址下載木馬病毒��,破壞用戶系統���,盜取用戶資料�。
用戶中毒后,會出現安全軟件無故關閉且無法啟動��、系統運行緩慢�����,出現大量可疑進程���,重要資料丟失等現象�。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁��、網頁掛馬、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶�����,無須任何設置���,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞��。無論您是否已經升級到最新版本��,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版���,微點主動防御軟件在發現該病毒后將報警提示您發現“未知間諜”,請直接選擇刪除處理(如圖1)
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本���,微點將報警提示您發現木馬"Trojan-Downloader.Win32.Small.aegh”,請直接選擇刪除(如圖2)����。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1.手動結束NTdhcp.exe進程����,并刪除%SystemRoot%\system32\NTdhcp.exe
2.手動清除以下注冊表鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名稱:NTdhcp
數值:C:\WINDOWS\system32\NTdhcp.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\navapsvc
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RsRavMon
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RsCCenter
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kavsvc
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\KVSrvXP
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\KPfwSvc
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\KWatchSvc
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SNDSrvc
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ccProxy
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ccEvtMgr
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ccSetMgr
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SPBBCSvc
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Symantec Core LC
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NPFMntor
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MskService
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FireSvc
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\McShield
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\McTaskManager
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\McAfeeFramework
名稱:Start
數值:0x4
3.修復安全軟件的開啟啟動和服務項啟動或重裝安全軟件
變量聲明:
%SystemDriver% 系統所在分區����,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄�,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾�,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄��,通常為:“C:\ProgramFiles”
病毒分析
(1)病毒將圖標偽裝為圖片圖標��,企圖迷惑用戶。
(2)病毒獲取系統路徑�����,查看自身是否在system32目錄下��,如果不在,則將自身復制為%SystemRoot%\system32\NTdhcp.exe,并將屬性設置為系統隱藏�����。
(3)成功后運行%SystemRoot%\system32\NTdhcp.exe
(4)完成后,生成批處理文件%SystemRoot%\Deleteme.bat���,運行該批處理刪除病毒源程序和批處理自身。
(5)%SystemRoot%\system32\NTdhcp.exe創建注冊表值���,將自身加為開機啟動項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名稱:NTdhcp
數值:C:\WINDOWS\system32\NTdhcp.exe
(6)創建線程,停止Windows安全控制中心的服務項����。
(7)創建線程����,在注冊表中搜索以下名稱啟動項��,一旦發現則刪除:KAVPersonal50�、RavMon��、RavTimer��、KvMonXP、iDuba Personal FireWall����、KAVRun�����、KpopMon���、Kulansyn���、KavPFW���、ccApp��、SSC_UserPrompt����、NAV CfgWiz�����、MCAgentExe���、McRegWiz����、MCUpdateExe����、MSKAGENTEXE、MSKDetectorExe�、VirusScan Online�����、VSOCheckTask��、Network Associates Error Reporting Service���、KavStart���、KWatch9x
(8)修改殺毒軟件服務項相關注冊表的啟動參數數值�,以屏蔽殺毒軟件啟動�。對應注冊表值為:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\navapsvc
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RsRavMon
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RsCCenter
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kavsvc
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\KVSrvXP
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\KPfwSvc
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\KWatchSvc
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SNDSrvc
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ccProxy
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ccEvtMgr
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ccSetMgr
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SPBBCSvc
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Symantec Core LC
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NPFMntor
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MskService
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FireSvc
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\McShield
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\McTaskManager
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\McAfeeFramework
名稱:Start
數值:0x4
(9)創建線程并建立消息循環,反復監控以下進程�,一旦發現則試圖關閉:FireTray.exe�、UpdaterUI.exe�、TBMon.exe、SHSTAT.EXE����、RAV.EXE�、RAVMON.EXE、RAVTIMER.EXE�、KVXP.KXP����、KVCENTER.KXP���、Iparmor.exe����、MAILMON.EXE、KAVPFW.EXE���、KmailMon.EXE、KAVStart.exe�����、KATMain.EXE��、TrojanDetector.EXE、KVFW.EXE�、KVMonXP.KXP�����、KAVPLUS.EXE、KWATCHUI.EXE��、KPOPMON.EXE�、KAV32.EXE、CCAPP.EXE�、MCAGENT.EXE����、MCVSESCN.EXE�����、MSKAGENT.EXE�����、EGHOST.EXE、KRegEx.exe�����、TrojDie.kxp����、KVOL.exe、kvolself.exe�、KWatch9x.exe
(10)創建線程并建立消息循環��,反復監控以下名稱的窗口,一旦發現則關閉:卡巴斯基反病毒單機版����、Symantec AntiVirus 企業版、江民殺毒軟件 KV2004:實時監視、RavMon.exe、ZoneAlarm、天網防火墻個人版、天網防火墻企業版�����。同時監控控件��,若為以下控件名則關閉相對應窗口:〖列舉啟動〗���、〖QQ精靈〗�、〖IE精靈〗
(11)監控用戶QQ登錄程序����,截獲用戶賬戶密碼等資料發送至指定郵箱。
(12)從指定網址下載大量病毒到本地運行。
病毒創建文件:
%SystemRoot%\system32\NTdhcp.exe
%SystemRoot%\Deleteme.bat
病毒刪除文件:
%SystemRoot%\Deleteme.bat
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名稱:NTdhcp
數值:C:\WINDOWS\system32\NTdhcp.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\navapsvc
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RsRavMon
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RsCCenter
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kavsvc
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\KVSrvXP
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\KPfwSvc
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\KWatchSvc
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SNDSrvc
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ccProxy
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ccEvtMgr
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ccSetMgr
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SPBBCSvc
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Symantec Core LC
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NPFMntor
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MskService
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FireSvc
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\McShield
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\McTaskManager
名稱:Start
數值:0x4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\McAfeeFramework
名稱:Start
數值:0x4
病毒訪問網絡:
alaq***.3322.org
