木馬下載器
Trojan-Downloader.Win32.Agent.bpkt
捕獲時(shí)間
2011-01-25
危害等級(jí)
中
病毒癥狀
該樣本是使用VC 編寫的下載者程序,用UPX加殼,由微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲,長(zhǎng)度為“46,080 字節(jié)”,圖標(biāo)為“
”,病毒擴(kuò)展名為“exe”,主要通過“文件捆綁”、“下載器下載”、“網(wǎng)頁(yè)掛馬”等方式傳播,病毒主要目的為下載惡意程序至用戶主機(jī)運(yùn)行。
用戶中毒后,會(huì)出現(xiàn)計(jì)算機(jī)及網(wǎng)絡(luò)運(yùn)行緩慢,出現(xiàn)未知進(jìn)程和服務(wù),系統(tǒng)及網(wǎng)絡(luò)緩慢、程序無(wú)故關(guān)閉等導(dǎo)致用戶隱私泄露及影響用戶使用的現(xiàn)象。
感染對(duì)象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網(wǎng)頁(yè)掛馬、下載器下載
防范措施
已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶,無(wú)須任何設(shè)置,微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無(wú)論您是否已經(jīng)升級(jí)到最新版本,微點(diǎn)主動(dòng)防御都能夠有效清除該病毒。如果您沒有將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版,微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“未知木馬”,請(qǐng)直接選擇刪除處理(如圖1)
圖1 微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲未知病毒(未升級(jí))
如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版本,微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)木馬"Trojan-Downloader.Win32.Agent.bpkt”,請(qǐng)直接選擇刪除(如圖2)。
圖2 微點(diǎn)主動(dòng)防御軟件升級(jí)后截獲已知病毒
未安裝微點(diǎn)主動(dòng)防御軟件的手動(dòng)解決辦法:
1、手動(dòng)刪除以下文件:
%SystemRoot%\cctcpulus.dat
%Temp%\updata.exe
C:\WINDOWS\system32\kav.exe
2、手動(dòng)刪除以下注冊(cè)表值:
HKEY_LOCAL_MACHINE\SOFTWARE\Internets
名稱:DirectoryPath
數(shù)據(jù):病毒原文件所在路徑
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名稱:kav
數(shù)值:C:\WINDOWS\system32\kav.exe
3、將正常注冊(cè)表值導(dǎo)入到以下注冊(cè)表位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local
4、用正常文件替換以下文件:
%SystemRoot%\system32\drivers\etc\hosts
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū),通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時(shí)文件夾,通常為“C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認(rèn)安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
1、創(chuàng)建互斥體“FCAERWQ..”,防止程序多次運(yùn)行;
2、創(chuàng)建線程,在線程里創(chuàng)建進(jìn)程快照,遍歷進(jìn)程查找avp.exe進(jìn)程,如果找到,會(huì)在%SystemRoot%目錄下創(chuàng)建文件cctcpulus.dat,調(diào)用cctcpulus.dat的DVD函數(shù),創(chuàng)建線程,遍歷窗口查找avp.exe的窗口,結(jié)束該進(jìn)程;如果沒有找到,退出線程;
3、創(chuàng)建進(jìn)程快照 ,遍歷進(jìn)程查找RavMonD.exe進(jìn)程,如果沒有找到,會(huì)在%Temp%目錄下創(chuàng)建注冊(cè)表HIVE文件360data.tmp,提高自身進(jìn)程權(quán)限,將該HIVE文件導(dǎo)入為注冊(cè)表項(xiàng)以修改本地IP安全策略。對(duì)應(yīng)注冊(cè)表項(xiàng)為:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\,完成后刪除該文件;
4、利用命令行將本地IP安全策略PolicyAgent啟動(dòng)方式設(shè)為自啟動(dòng),然后重新啟動(dòng)該服務(wù);
5、獲取系統(tǒng)目錄,創(chuàng)建目錄%ProgramFiles%\ATI,在該目錄下創(chuàng)建驅(qū)動(dòng)安裝文件amdk8.inf,以及對(duì)應(yīng)驅(qū)動(dòng)文件admk8.sys;
6、成功后將%ProgramFiles%\ATI\amdk8.sys復(fù)制為%SystemRoot%\system32\drivers\amdk8.sys并加載為服務(wù)項(xiàng),服務(wù)項(xiàng)名稱為“amdk8”。對(duì)應(yīng)注冊(cè)表項(xiàng)為:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amdk8
名稱:ImagePath 數(shù)值:system32\DRIVERS\amdk8.sys;
7、在%ProgramFiles%\ATI目錄下創(chuàng)建動(dòng)態(tài)庫(kù)文件amdk8.dll,加載該動(dòng)態(tài)庫(kù),查找avp.exe、360safebox.exe等安全軟件進(jìn)程,如果找到則利用驅(qū)動(dòng)文件結(jié)束安全軟件進(jìn)程;建立映像劫持,在注冊(cè)表內(nèi)劫持大量安全軟件主程序,使安全軟件無(wú)法啟動(dòng),對(duì)應(yīng)注冊(cè)表項(xiàng):HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\,完成后刪除amdk8.dll、amdk8.inf、amdk8.sys;
8、建立注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINE\SOFTWARE\Internets,名稱為DirectoryPath,數(shù)據(jù)指向病毒原文件所在路徑;
9、獲取臨時(shí)文件夾目錄%Temp%,在該目錄下創(chuàng)建文件updata.exe,然后會(huì)打開該文件;
10、updata.exe運(yùn)行后,首先會(huì)創(chuàng)建互斥體ACDTEST......,防止程序多次運(yùn)行;
11、創(chuàng)建注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINE\SYSTEM\
Microsoft\Windows\CurrentVersion\Run,數(shù)據(jù)指向C:\WINDOWS\system32\kav.exe,用于病毒文件的自啟動(dòng);
12、update.exe會(huì)修改本地hosts文件以屏蔽安全軟件網(wǎng)址,并連接指定網(wǎng)站,發(fā)送本地網(wǎng)卡、系統(tǒng)等信息到指指定網(wǎng)址,下載大量惡意程序到本地運(yùn)行;
13、運(yùn)行updata.exe后,病毒會(huì)在%Temp%目錄下創(chuàng)建文件%Temp%\kisdat.tmp,以參數(shù)khy加載該動(dòng)態(tài)庫(kù)文件;
14、kisdat.tmp加載后首先會(huì)提升自身進(jìn)程權(quán)限,然后在%Temp%目錄下創(chuàng)建驅(qū)動(dòng)文件DogKiller.sys,創(chuàng)建驅(qū)動(dòng)服務(wù)項(xiàng)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DogKiller,服務(wù)名稱為DogKiller,加載該服務(wù)項(xiàng),完成后刪除kisdat.tmp和DogKiller.sys;
15、比較病毒自身是否位于C:\WINDOWS\system32\kav.exe,如果不是,將自身移動(dòng)為C:\WINDOWS\system32\kav.exe;
病毒創(chuàng)建文件:
%SystemRoot%\cctcpulus.dat
%Temp%\360data.tmp
%ProgramFiles%\admk8.inf
%ProgramFiles%\admk8.dll
%ProgramFiles%\admk8.sys
%SystemRoot%\system32\drivers\amdk8.sys
%Temp%\updata.exe
%Temp%\kisdat.tmp
%Temp%\DogKiller.sys
C:\WINDOWS\system32\kav.exe
病毒建立注冊(cè)表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amdk8
名稱:ImagePath
數(shù)值:system32\DRIVERS\amdk8.sys
HKEY_LOCAL_MACHINE\SOFTWARE\Internets
名稱:DirectoryPath
數(shù)據(jù):病毒原文件所在路徑
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DogKiller
名稱:DogKiller
數(shù)據(jù):%Temp%\DogKiller.sys
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名稱:kav
數(shù)值:C:\WINDOWS\system32\kav.exe
病毒連接網(wǎng)絡(luò):
http://count.***.net/mmm/count.asp
http://down.***.net/txt/mmm.txt
http://119.***.15:3721/exe/zx.exe
http://119.***.15:3721/exe/wd.exe
http://119.***.15:3721/exe/wow.exe
http://119.***.15:3721/exe/dnf.exe
http://119.***.15:3721/exe/mh.exe
http://119.***.15:3721/exe/lzg.exe
http://119.***.15:3721/exe/qqsg.exe
http://119.***.15:3721/exe/dh2.exe
http://119.***.15:3721/exe/tl.exe
http://119.***.15:3721/exe/qq.exe
http://122.***.169:3322/down/ie.exe
http://122.***.169:3322/down/59.exe
