木馬下載器
Trojan-Downloader.Win32.Geral.ciu
捕獲時間
2011-03-03
危害等級
中
病毒癥狀
該樣本是使用“VC ”編寫的下載者程序,由微點主動防御軟件自動捕獲,采用“NsPacK”加殼方式,長度為“38,961 字節”,圖標為“
”,病毒擴展名為“exe”,主要通過“文件捆綁”、“下載器下載”、“網頁掛馬”等方式傳播,病毒主要目的為下載惡意程序至用戶主機運行。
用戶中毒后,會出現計算機系統及網絡緩慢、殺軟無故退出甚至無法啟動、出現大量未知進程現象。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網頁掛馬、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1)
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現木馬"Trojan-Downloader.Win32.Geral.ciu”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1、手動刪除以下文件:
%SystemRoot%\system32\killdll.dll
%Temp\~Frm.exe
%SystemRoot%\system32\updater.exe
%System%\system32\drivers\pcidump.sys
2、手動替換以下文件為正常文件:
%SystemRoot%\system32\userinit.exe
%System%\system32\drivers\AsyncMac.sys
%System%\system32\drivers\aec.sys
3、手動刪除以下注冊表項:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump
DisplayName:pcidump
ImagePath:\??\C:\WINDOWS\system32\drivers\pcidump.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AsyncMac
DisplayName:AsyncMac
ImagePath:system32\DRIVERS\asyncmac.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aec
DisplayName:aec
ImagePath:System32\DRIVERS\aec.sys
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\安全軟件名稱
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名稱:updater
數據:C:\WINDOWS\System32\updater.exe
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
1、創建進程快照,遍歷進程查找自身進程是否已經啟動;如果沒有,則在系統目錄下釋放動態庫文件%SystemRoot%\system32\killdll.dll,調用系統目錄下的%SystemRoot%\system32\rundll32.exe 以參數“killall”加載該動態庫文件;
2、在臨時文件夾目錄下%Temp%創建文件%Temp\~Frm.exe,然后運行該文件;
3、~Frm.exe運行后刪除%SystemRoot%\system32\killdll.dll;
4、將病毒自身文件移動到%SystemRoot%\system32目錄下并重命名為updater.exe;
5、在系統驅動文件目錄下創建驅動文件%System%\system32\drivers\pcidump.sys,打開服務管理器,創建名稱為“pcidump”的服務,該服務路徑為剛才創建的驅動文件,以服務方式加載該驅動文件,建立相應注冊表服務項;服務啟動后,創建驅動管道"\\.\pcidump",與驅動文件進行通信,該驅動會修改“userinit.exe”文件,將文件“%temp%\~Frm.exe”注入到%System%\system32\ userinit.exe,來實現開機啟動,然后刪除pcidump.sys對應服務項;
6、在臨時文件夾目錄%Temp%下創建批處理文件%Temp\_undelme.bat,刪除病毒原文件和批處理自身;
7、Killdll.dll加載后,首先提高自身進程權限;創建進程快照查找瑞星進程“CCENTER.EXE”,如果找到,會刪除正常驅動文件%System%\system32\drivers\AsyncMac.sys,讀取killdll.dll資源,重寫該驅動文件;,打開服務管理器,創建名稱為“AsyncMac”的服務,該服務路徑為剛才創建的驅動文件,以服務方式加載該驅動文件,建立相應注冊表服務項;服務啟動后,創建驅動管道"\\.\KILLPS_Drv",與驅動文件進行通信;該驅動運行后會結束大量安全軟件進程,映像劫持所查找的安全軟件進程,完成后刪除該驅動文件;刪除驅動文件%System%\system32\drivers\aec.sys,然后重寫該驅動文件,創建服務,建立相應注冊表服務項;服務啟動后,恢復SSDT,解除安全軟件建立的系統鉤子, 然后刪除驅動文件%System%\system32\drivers\aec.sys;
8、利用命令行結束瑞星安全軟件的服務項,刪除注冊表項:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,使系統啟動項不能運行;
9、~Frm.exe啟動后,會創建注冊表啟動項:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,數據指向%SystemRoot%\system32\updater.exe,實現病毒文件的開機自啟動;
10、病毒將自身進程注入svchost.exe,然后連接病毒網絡,發送本機信息到遠端網絡,下載大量病毒到本機%Temp%目錄下并運行;
病毒創建文件:
%SystemRoot%\system32\killdll.dll
%Temp\~Frm.exe
%SystemRoot%\system32\updater.exe
%System%\system32\drivers\pcidump.sys
病毒修改文件:
%SystemRoot%\system32\userinit.exe
%System%\system32\drivers\AsyncMac.sys
%System%\system32\drivers\aec.sys
病毒創建注冊表項:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump
DisplayName:pcidump
ImagePath:\??\C:\WINDOWS\system32\drivers\pcidump.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AsyncMac
DisplayName:AsyncMac
ImagePath:system32\DRIVERS\asyncmac.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aec
DisplayName:aec
ImagePath:System32\DRIVERS\aec.sys
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\安全軟件名稱
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名稱:updater
數據:C:\WINDOWS\System32\updater.exe
病毒訪問網絡:
http://www.3*.cn/Count/count.asp
