病毒釋放者程序
Trojan-Dropper.Win32.Agent.arnz
捕獲時(shí)間
2011-02-04
危害等級(jí)
中
病毒癥狀
該樣本是使用“C/C ”編寫(xiě)的木馬程序,由微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲���,采用"upx"加殼方式試圖躲避特征碼掃描,加殼后長(zhǎng)度為“49,456”字節(jié)�����,圖標(biāo)為“
”��,病毒擴(kuò)展名為“exe”,主要通過(guò)“文件捆綁”����、“下載器下載”�����、“網(wǎng)頁(yè)掛馬”等方式傳播����,病毒主要目的是釋放病毒到本機(jī)運(yùn)行。
用戶中毒后,會(huì)出現(xiàn)系統(tǒng)運(yùn)行緩慢�����、存在大量未知可疑進(jìn)程、系統(tǒng)重要資料丟失等現(xiàn)象�。
感染對(duì)象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁�����、網(wǎng)頁(yè)掛馬、下載器下載
防范措施
已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶����,無(wú)須任何設(shè)置���,微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞��。無(wú)論您是否已經(jīng)升級(jí)到最新版本,微點(diǎn)主動(dòng)防御都能夠有效清除該病毒�����。如果您沒(méi)有將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版�����,微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“病毒”����,請(qǐng)直接選擇刪除處理(如圖1)
圖1 微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲未知病毒(未升級(jí))
如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版本�����,微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)木馬"Trojan-Dropper.Win32.Agent.arnz”,請(qǐng)直接選擇刪除(如圖2)。
圖2 微點(diǎn)主動(dòng)防御軟件升級(jí)后截獲已知病毒
未安裝微點(diǎn)主動(dòng)防御軟件的手動(dòng)解決辦法:
1.手動(dòng)刪除以下文件:
%SystemRoot%\system32\lqcyc52.cyc(隨機(jī)命名)
%SystemRoot%\system32\cybkus10.dll
2.用正常文件替換%SystemRoot%\system32\usp10.dll
3.清空臨時(shí)文件夾�����,并進(jìn)行全盤(pán)殺毒�����。
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū)�,通常為“C:\”
%SystemRoot% WINDODWS所在目錄�,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時(shí)文件夾,通常為“C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認(rèn)安裝目錄����,通常為:“C:\ProgramFiles”
病毒分析
1.該樣本運(yùn)行后�,獲取系統(tǒng)路徑���。
2.釋放動(dòng)態(tài)鏈接庫(kù)lqcyc52.cyc(隨機(jī)命名)�����、可執(zhí)行文件taskngr.exe到%SystemRoot%\system32文件夾下�。
3.利用模擬鍵盤(pán)動(dòng)作在運(yùn)行欄輸入"taskngr" lqcyc52.cyc���,用于加載動(dòng)態(tài)鏈接庫(kù)lqcyc52.cyc��。
4.加載成功動(dòng)態(tài)鏈接庫(kù)lqcyc52.cyc之后���,刪除taskngr.exe文件����。
5.釋放可執(zhí)行文件systemdebug.exe到%SystemRoot%文件夾下�,并運(yùn)行該可執(zhí)行文件��。
6.在臨時(shí)文件夾下創(chuàng)建批處理文件test.bat��,并運(yùn)行該批處理文件用以刪除病毒源文件。
7.動(dòng)態(tài)鏈接庫(kù)lqcyc52.cyc被加載后����,刪除%SystemRoot%\system32\dllcache\usp10.dll��。
8.重命名系統(tǒng)文件%SystemRoot%\system32\usp10.dll為cybkus10.dll,將lqcyc52.cyc文件更名為usp10.dll����。
9.查詢以下注冊(cè)表項(xiàng)���,用于獲取殺軟路徑:
HKEY_LOCAL_MACHINE\Software\360Safe\menuext\LiveUpdate360
名稱:Application
10.成功獲取路徑之后���,復(fù)制被替換的系統(tǒng)文件usp10.dll到殺軟目錄下��。
11.判斷自身所加載的進(jìn)程��,若為殺軟相關(guān)進(jìn)程則結(jié)束自身。
12.Systemdebug.exe運(yùn)行后����,連接黑客指定網(wǎng)址����,下載大量病毒到本地臨時(shí)文件夾下��,并運(yùn)行��。
病毒創(chuàng)建文件:
%SystemRoot%\system32\lqcyc52.cyc(隨機(jī)命名)
%SystemRoot%\system32\taskngr.exe
%SystemRoot%\system32\cybkus10.dll
病毒刪除文件:
%SystemRoot%\system32\taskngr.exe
%SystemRoot%\system32\dllcache\usp10.dll
