木馬下載器
Trojan-Downloader.Win32.Geral.cfh
捕獲時間
2010-12-07
危害等級
中
病毒癥狀
該樣本是使用“C/C ”編寫的木馬程序��,由微點主動防御軟件自動捕獲,采用“UPX”加殼方式試圖躲避特征碼掃描,加殼后長度為“25,088”字節,圖標為“
”,病毒擴展名為“exe”�����,主要通過“文件捆綁”、“下載器下載”、“網頁掛馬”等方式傳播,病毒主要目的是下載病毒到本地運行。
用戶中毒后�,會出現殺毒軟件無故關閉�,系統運行緩慢���,出現大量可以進程等現象�����。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁���、網頁掛馬��、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞��。無論您是否已經升級到最新版本����,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知間諜”�����,請直接選擇刪除處理(如圖1)
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本�,微點將報警提示您發現木馬"Trojan-Downloader.Win32.Geral.cfh”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1.結束可疑進程,并結束以下進程:
scvhost.exe
807062.exe(隨機命名)
2.清空臨時文件夾%Temp%并刪除以下文件:
%SystemRoot%\system32\scvhost.exe
3.用正常的hosts文件替換%SystemRoot%\system32\drivers\etc\hosts
4.刪除以下注冊表值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名稱:360Soft
數據:C:\WINDOWS\system32\scvhost.exe
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄�,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄���,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾����,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄����,通常為:“C:\ProgramFiles”
病毒分析
(1)病毒創建名為“TGmae...”,避免重復運行���。
(2)獲取自身路徑�,查看自身是否注入到%SystemRoot%\Explorer.exe中運行。
(3)若不是則獲取自身運行進程句柄����,提升自身權限���。獲取進程快照����,查找ekrn.exe的進程����。
(4)若發現則通過sc命令關閉并刪除ekrn服務項。同時使用taskkill結束ekrn.exe和egui.exe兩個進程��。
(5)獲取臨時目錄����,并讀取自身資源,創建動態鏈接庫文件%Temp%\800750.dll(隨機命名)
(6)病毒從命令行啟動系統文件%SystemRoot%\system32\rundll32.exe����,使其以“testall”為參數�,加載%Temp%\800750.dll
(7)%Temp%\800750.dll獲取系統路徑����,釋放驅動文件%SystemRoot%\fonts\pci.sys
(8)成功后創建名為“acde”的服務項,加載該驅動文件并啟動服務項����。對應注冊表項為:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\acde
名稱:ImagePath
數值:\??\C:\WINDOWS\fonts\pci.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\acde
名稱:ImagePath
數值:\??\C:\WINDOWS\fonts\pci.sys
(9)建立設備“\\.\bbqqaacc”����,利用該設備與驅動文件%SystemRoot%\fonts\pci.sys通信���,試圖從驅動層結束安全軟件進程�����。完成后刪除該驅動文件和對應的服務項注冊表項
(10)病毒獲取系統路徑,創建文件%SystemRoot%\system32\807062.exe(隨機命名)�,并啟動該程序
(11)完成后病毒釋放另一個驅動文件%SystemRoot%\system32\drivers\pcidump.sys��,并為其創建注冊表項,使其加載為名為“pcidump”的服務項。對應注冊表項為:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
名稱:ImagePath
數值:\??\C:\WINDOWS\system32\drivers\pcidump.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump
名稱:ImagePath
數值:\??\C:\WINDOWS\system32\drivers\pcidump.sys
(12)%SystemRoot%\system32\drivers\pcidump.sys會調用系統文件%SystemRoot%\system32\drivers\gm.dls將病毒注入到桌面進程%SystemRoot%\explorer.exe中運行���。
(13)成功后病毒刪除pcidump的服務項及驅動文件%SystemRoot%\system32\drivers\pcidump.sys
(14)病毒將自身復制為%SystemRoot%\system32\scvhost.exe偽裝為系統文件����。
(15)病毒在自身目錄下創建批處理文件X\kl78a.bat(X為病毒所在目錄)����,該批處理刪除病毒和批處理。
(16)%Temp%\807062.exe創建名為“XETTETT......”的互斥量�,避免重復運行���。
(17)完成后提升自身權限���,獲取臨時文件路徑�����,將系統文件%SystemRoot%\system32\wininet.dll復制為%Temp%\ope1.tmp,并讀取其中函數
(18)創建注冊表值��,將病毒復制得到的%SystemRoot%\system32\scvhost.exe加載為開機啟動項��。對應的注冊表值為:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名稱:360Soft
數據:C:\WINDOWS\system32\scvhost.exe
(19)創建線程���,反復獲取窗口標題,一旦發現“Windows 文件保護”的標題就自動點擊“確定”按鈕。
(20)創建線程,到指定網址獲取hosts文件���,替換本地的%SystemRoot%\system32\drivers\etc\hosts文件,以實現對安全軟件相關網站的屏蔽。
(21)創建線程�����,將本機mac地址和系統版本等信息發送至指定統計網站����。
(22)到指定網址下載病毒列表到本地,并啟動這些病毒。
病毒創建文件:
%Temp%\800750.dll(隨機命名)
%SystemRoot%\fonts\pci.sys
%Temp%\807062.exe(隨機命名)
%SystemRoot%\system32\drivers\pcidump.sys
X\kl78a.bat(X為病毒所在目錄)
%SystemRoot%\system32\scvhost.exe
病毒刪除文件:
%SystemRoot%\fonts\pci.sys
%SystemRoot%\system32\drivers\pcidump.sys
X\kl78a.bat(X為病毒所在目錄)
病毒替換文件:
%SystemRoot%\system32\drivers\etc\hosts
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\acde
名稱:ImagePath
數值:\??\C:\WINDOWS\fonts\pci.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\acde
名稱:ImagePath
數值:\??\C:\WINDOWS\fonts\pci.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
名稱:ImagePath
數值:\??\C:\WINDOWS\system32\drivers\pcidump.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump
名稱:ImagePath
數值:\??\C:\WINDOWS\system32\drivers\pcidump.sys
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名稱:360Soft
數據:C:\WINDOWS\system32\scvhost.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\acde
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\acde
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump
病毒訪問網絡:
http://ad.****.info:72/hosts.txt
http://Count.dn***.info:88/Count.asp
http://ad.****.info:72/ad.txt
http://dl.****.info:66/Ac01.js
http://dl.****.info:66/Ac02.js
http://dl.****.info:66/Ac03.js
http://dl.****.info:66/Ac04.js
http://dl.****.info:66/Ac05.js
http://dl.****.info:66/Ac06.js
http://dl.****.info:66/Ac07.js
http://dl.****.info:66/Ac08.js
http://dl.****.info:66/Ac09.js
http://dl.****.info:66/Ac10.js
http://dl.****.info:66/Ac11.js
http://dl.****.info:66/Ac12.js
http://dl.****.info:66/Ac13.js
http://dl.****.info:66/Ac14.js
http://dl.****.info:66/Ac15.js
http://dl.****.info:66/Ac16.js
http://dl.****.info:66/Ac17.js
http://dl.****.info:66/Ac18.js
http://dl.****.info:66/Ac19.js
http://dl.****.info:66/Ac20.js
http://dl.****.info:66/Ac21.js
http://dl.****.info:66/Ac22.js
http://dl.****.info:66/Ac23.js
http://dl.****.info:66/Ac24.js
http://dl.****.info:66/Ac25.js
http://dl.****.info:66/Ac26.js
http://dl.****.info:66/Ac27.js
http://dl.****.info:66/Ac28.js
http://dl.****.info:66/Ac29.js
http://dl.****.info:66/Ac30.js
