木馬程序
Trojan-Dropper.Win32.Mudrop.bvs
捕獲時間
2011-06-30
危害等級
中
病毒癥狀
該樣本是使用“VC”編寫的盜號木馬��,由微點主動防御軟件自動捕獲,采用“UPX”加殼方式��,企圖躲避特征碼掃描��,加殼后長度為長度為“38,300 字節”�,圖標為“
”�����,病毒
擴展名為“exe”�,主要通過“文件捆綁”���、“網頁掛馬”���、“下載器下載”等方式傳播�,病毒目的竊取用戶計算機中信息,用戶中毒后出現系統運行緩慢,出現未知進程���。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網頁掛馬、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶����,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞����。無論您是否已經升級到最新版本�����,微點主動防御都能夠有效清除該病毒。
如果您沒有將微點主動防御軟件升級到最新版��,微點主動防御軟件在發現該病毒后將報警提示您發現“未知間諜軟件”�,請直接選擇刪除處理(如圖1)
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現木馬"Trojan-Dropper.Win32.Mudrop.bvs”�,請直接選擇刪除(如圖2)���。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1.手動刪除以下文件:
%SystemRoot%\fonts\dbr01038.ttf
%Temp%\00081769mdd.temp(隨機名)
%Temp%\0009B4BDeime.temp(隨機名)
%SystemRoot%\system32\gbvgbv01.exe
%SystemRoot%\system32\dbr01038.ocx
%SystemRoot%\system32\dbr99006.ocx
變量聲明:
%SystemDriver% 系統所在分區����,通常為“C:\”
%SystemRoot% WINDODWS所在目錄��,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄��,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄���,通常為:“C:\ProgramFiles”
病毒分析:
1.打開進程提升自身SeDebugPrivilege權限。
2.打開病毒程序���,釋放病毒代碼到%SystemRoot%\fonts\dbr01038.ttf���,在系統臨時目錄創建文件%Temp%\00081769mdd.temp(隨機名)和%Temp%\0009B4BDeime.temp(隨機名)并釋放病毒代碼到這兩個文件中�����,并分別移動這兩個文件到%SystemRoot%\system32\dbr01038.ocx和%SystemRoot%\system32\dbr99006.ocx���。
3.拷貝一份系統目錄下的rundll32.exe為%SystemRoot%\system32\gbvgbv01.exe�。
4.創建進程快照,遍歷查找進程"explorer.exe",如果找到則在此進程中創建遠程線程��,分配遠程進程中的內存空間并插入病毒自身代碼�。
5創建進程加載%SystemRoot%\system32\gbvgbv01.exe運行%SystemRoot%\system32\dbr01038.ocx和%SystemRoot%\system32\dbr99006.ocx后刪除病毒自身,
6.病毒運行后向黑客發送計算機中的大量信息����,導致用戶個人隱私及重要信息泄露�����。
病毒創建文件:
%SystemRoot%\fonts\dbr01038.ttf
%Temp%\00081769mdd.temp(隨機名)
%Temp%\0009B4BDeime.temp(隨機名)
%SystemRoot%\system32\gbvgbv01.exe
%SystemRoot%\system32\dbr01038.ocx
%SystemRoot%\system32\dbr99006.ocx
