木馬下載器
Trojan-Downloader.Win32.Koutodoor.au
捕獲時間
2011-02-10
危害等級
中
病毒癥狀
該樣本是使用VC 編寫的木馬程序,由微點主動防御軟件自動捕獲��,長度為“200,768 字節”��,圖標為“
”�,病毒擴展名為“exe”���,主要通過“文件捆綁”���、“下載器下載”����、“網頁掛馬”等方式傳播,病毒主要目的為下載惡意程序至用戶主機運行����。
用戶中毒后����,會出現計算機及網絡運行緩慢���,出現未知進程和服務�����,系統及網絡緩慢�、程序無故關閉等導致用戶隱私泄露及影響用戶使用的現象��。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網頁掛馬����、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶�����,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒���。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知間諜”,請直接選擇刪除處理(如圖1)
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本��,微點將報警提示您發現木馬"Trojan-Downloader.Win32.Koutodoor.au”�,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1��、手動刪除以下文件:
%Temp%\bvaudx.exe
%Temp%\wweodm.exe
2�、手動更改以下注冊表值:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Startpage:http://www.my***.comn改為正常主頁網址
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime
主項下所有鍵值刪除
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell鍵值恢復默認
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% 系統所在目錄���,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾���,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
1���、注冊名稱為“wnzrht”的窗口類,以隱藏方式創建消息窗口�,更新窗口��,進行消息循環;
2����、打開注冊表項:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main���,將startpage改為www.my***.com ,以便更改ie瀏覽器首頁;然后比較字符串www.my***.com與about:blank�����、baidu.com�����、hao123.com是否相同����;如果相同,將下面網址存入內存:
http://www.sz***.info/vv.php
http://www.ks***.info/23.php
http://www.cs***.info/rr.php����;
如果不同��,則選擇另一組網址:
http://www.23***6.info/qu.php
http://www.13***9.info/hao.php
http://www.13***5.info/pp.php
http://www.13***6.info/t7.php
http://www.10***.info/tt.php;
3����、修改用戶注冊表項:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime����,用于記錄病毒在本機的運行信息�����;
4����、在臨時文件夾目錄下創建文件%Temp%\uflvsa.exe(隨機名),然后創建批理文件tfxlncy.bat和tcjkau.bat(隨機名)�;
5、運行tfxlncy.bat�,tfxlncy.bat先將tcjkau.bat重命名為pjhbdsoc.bat(隨機名),然后運行pjhbdsoc.bat��,運行后刪除自身���;pjhbdsoc.bat運行后�����,啟動%Temp%\uflvsa.exe�����,ping本地主機,刪除自身�;
6��、uflvsa.exe運行后,創建進程快照遍歷進程查找avp.exe�,如果沒有找到avp.exe,病毒會在系統目錄創建批處理文件%SystemRoot%\system32\phqghu.bat(隨機名)��,用于刪除uflvsa.exe;如果找到avp.exe����,但沒有360tray.exe進程存在�����,病毒會刪除以下注冊表鍵值:HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell,然后將該鍵值寫入自己的數據;
7�、創建通信管道 \\.\Global\ksdrv���,連接病毒指定的以上網絡地址��,如果一個解析不成功,則解析另外的���,下載病毒文件到本地%Temp%\目錄下����,并重命名為bvaudx.exe(隨機名),然后利用上面批處理方法運行bvaudx.exe;
8、連接網址http://www.sh***ng8.info/xiao2.php,下載病毒文件到下載病毒文件到本地%Temp%\目錄下����,并重命名為wweodm.exe(隨機名),然后利用上面批處理方法運行wweodm.exe�;
病毒創建文件:
%Temp%\uflvsa.exe
%Temp%\tfxlncy.bat
%Temp%\tcjkau.bat
%Temp%\pjhbdsoc.bat
%SystemRoot%\system32\phqghu.bat
病毒下載文件:
%Temp%\bvaudx.exe
%Temp%\wweodm.exe
病毒更改注冊表:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Startpage:http://www.my***.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\mtbtf
名稱:MUIVerb 數據:@shdoclc.dll,-10241
其子項Command 數據:explorer.exe h%1t%1t%1p%:%/%/%w%w%w%.%1g%1o����%.�%1n%/%1?�%1i
病毒連接網絡:
http://www.my***.com
http://www.sz***.info/vv.php
http://www.ks***.info/23.php
http://www.cs***.info/rr.php
http://www.23***6.info/qu.php
http://www.13***9.info/hao.php
http://www.13***5.info/pp.php
http://www.13***6.info/t7.php
http://www.10***.info/tt.php
http://www.sh***ng8.info/xiao2.php
