木馬程序
Trojan-Dropper.Win32.Ekafod.x
捕獲時間
2011-05-11
危害等級
中
病毒癥狀
該樣本是使用“MFC”編寫的木馬程序,由微點主動防御軟件自動捕獲,采用“UPX”加殼方式,企圖躲避特征碼掃描,加殼后長度為長度為“42,496 字節(jié)”,圖標(biāo)為“
”,病毒擴展名為“.exe”,病毒偽裝成文件夾圖標(biāo)并隱藏擴展名以迷惑用戶,病毒主要通過“文件捆綁”、“下載器下載”,“網(wǎng)頁掛馬”等方式傳播,病毒主要目的是釋放病毒到本機運行,用戶中毒后,會出現(xiàn)系統(tǒng)運行緩慢,出現(xiàn)未知進(jìn)程。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網(wǎng)頁掛馬、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設(shè)置,微點主動防御將自動保護您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發(fā)現(xiàn)該病毒后將報警提示您發(fā)現(xiàn)“未知后門”,請直接選擇刪除處理(如圖1)
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經(jīng)將微點主動防御軟件升級到最新版本,微點將報警提示您發(fā)現(xiàn)木馬"Trojan-Dropper.Win32.Ekafod.x”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1、手動刪除以下文件:
%Systemroot%\System32\wicy111.dll
%Systemroot%\System32\tt_b_2.dll
%Systemroot%\System32\lockdrv.sys
2、手動刪除以下注冊表項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lockdrv.sys
3、手動修改以下注冊表項:
修改HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
名稱:
數(shù)據(jù):C:\Program Files\Internet Explorer\IEXPLORE.EXE
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū),通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認(rèn)安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
(1),查找計算機中是否存在“病毒當(dāng)前目錄\病毒名”(不帶exe擴展名)目錄,如果存在,表明當(dāng)前目錄中存在和此病毒名相同的目錄名,用資源管理器打開。如果不存在則設(shè)置注冊表鍵HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced相應(yīng)的鍵值,隱藏文件擴展名,不顯示隱藏文件及系統(tǒng)保護文件,從而達(dá)到隱蔽病毒自身的效果。
(2),打開注冊表項HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command,修改其默認(rèn)鍵值為“C:\Program Files\Internet Explorer\IEXPLORE.EXE http://www.488**.cn"。
(3),查找是否有%Systemroot%\System32\wicy111.dll和%Systemroot%\System32\tt_b_2.dll,如果沒有則創(chuàng)建這兩個文件,并寫入相應(yīng)數(shù)據(jù),創(chuàng)建進(jìn)程通過regsvr32命令分別注冊運行以上兩個dll文件。
(4),創(chuàng)建%Systemroot%\System32\lockdrv.sys,并寫入數(shù)據(jù),判斷是否存在lockdrv.sys服務(wù),如果沒有則為此文件創(chuàng)建相應(yīng)的服務(wù)(該服務(wù)為驅(qū)動、進(jìn)程服務(wù)類型,services.msc中查詢不到,只能在注冊表中查看),并創(chuàng)建服務(wù)相應(yīng)的注冊表項HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lockdrv.sys,隨后啟動該服務(wù)。
(5),在病毒當(dāng)前目錄創(chuàng)建批處理程序375519961057540.bat,并往里寫入批處理命令。運行此命令,刪除病毒文件和此批處理程序。
(6),加載運行%Systemroot%\System32\wicy111.dll,在注冊表項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler中創(chuàng)建鍵值項{C4560D12-CE25-4A2E-A5D4-B5070FCBE282},其值為csiddll。
(7),檢查計算機是否能訪問互聯(lián)網(wǎng),如果可以,將和http://www.renren125**.com/MainDll/SoftSize.asp建立鏈接。下載病毒木馬程序到本機運行。
病毒創(chuàng)建文件:
%Systemroot%\System32\wicy111.dll
%Systemroot%\System32\tt_b_2.dll
%Systemroot%\System32\lockdrv.sys
病毒當(dāng)前所在目錄\375519961057540.bat
病毒創(chuàng)建注冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lockdrv.sys
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
名稱:
數(shù)據(jù): C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://www.488**.cn
病毒訪問網(wǎng)絡(luò):
http://www.renren125**.com/MainDll/SoftSize.asp
http://www.488**.cn
