下載者程序
Trojan-Downloader.Win32.Perkesh.gs
捕獲時(shí)間
2011-08-12
危害等級(jí)
中
病毒癥狀
該樣本是使用“C ”編寫(xiě)的“下載器”,由微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲,采用“UPX”加殼方式試圖躲避特征碼掃描,加殼后長(zhǎng)度為“29,696”字節(jié),圖標(biāo)為“
”,使用“exe”擴(kuò)展名,通過(guò)文件捆綁、網(wǎng)頁(yè)掛馬、下載器下載等方式進(jìn)行傳播,病毒主要目的是指引用戶計(jì)算機(jī)到黑客指定的URL地址去下載更多的病毒或木馬后門(mén)文件并運(yùn)行。
用戶中毒后會(huì)出現(xiàn)電腦的運(yùn)行速度變慢,殺軟無(wú)故退出而不能啟動(dòng),出現(xiàn)大量未知進(jìn)程等現(xiàn)象。
感染對(duì)象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網(wǎng)頁(yè)掛馬、下載器下載
防范措施
已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶,無(wú)須任何設(shè)置,微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無(wú)論您是否已經(jīng)升級(jí)到最新版本,微點(diǎn)主動(dòng)防御都能夠有效清除該病毒。如果您沒(méi)有將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版,微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“未知木馬”,請(qǐng)直接選擇刪除處理(如圖1)
圖1 微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲未知病毒(未升級(jí))
如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版本,微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)木馬"Trojan-Downloader.Win32.Perkesh.gs”,請(qǐng)直接選擇刪除(如圖2)。
圖2 微點(diǎn)主動(dòng)防御軟件升級(jí)后截獲已知病毒
未安裝微點(diǎn)主動(dòng)防御軟件的手動(dòng)解決辦法:
手動(dòng)刪除以下文件:
%Temp%\(隨機(jī)名).kx
%Temp%\pci.sys
%Temp%\~(隨機(jī)名).ex
%Temp%\~(隨機(jī)名).exe
%SystemRoot%\system32\(隨機(jī)名).exe
%TEMP%\~(隨機(jī)名).dat
恢復(fù)被感染的系統(tǒng)文件"%SystemRoot%\System32\userinit.exe"
手動(dòng)刪除注冊(cè)表項(xiàng):
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safeboxtray.exe
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aav
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vb
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū),通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時(shí)文件夾,通常為“C:\Documents and Settings\當(dāng)前用戶名稱(chēng)\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認(rèn)安裝目錄,通常為:“C:\ProgramFiles”
病毒分析:
1.防止重復(fù)啟動(dòng)創(chuàng)建互斥變量,結(jié)束"egui.exe"、"ekrn.exe"進(jìn)程,刪除其服務(wù)。
2.快照進(jìn)程查找"ras.exe"、"rsmain"、"rsnetsvr.exe"、"scanfrm.exe"、"ravtask.exe"、"ccenter.exe"、
"rfwsrv.exe"、"rstray.exe"、"ravmond.exe"、"kpfwsvc.exe"、"kavstart.exe"、
"kaccore.exe"、"kpfw32.exe"、"kissvc.exe"、"kwatch.exe"、"kamilmon.exe",找到則關(guān)閉進(jìn)程。
3.再次查找"360tray.exe"、"safeboxtray.exe"、"avp.exe"進(jìn)程,找到則在"%Temp%"路徑下釋放"~(隨機(jī)名).kx",加載此動(dòng)態(tài)鏈接庫(kù),釋放驅(qū)動(dòng)文件"pci.sys"到"%Temp%"路徑下,創(chuàng)建"aav"服務(wù)加載此驅(qū)動(dòng)來(lái)結(jié)束殺軟進(jìn)程,向注冊(cè)表添加映像劫持,枚舉結(jié)束用戶打開(kāi)的反病毒窗口。然后退出驅(qū)動(dòng),刪除服務(wù)和驅(qū)動(dòng)文件。
4.釋放"~(隨機(jī)名).ex"、"~(隨機(jī)名).exe"文件到"%Temp%"路徑下,釋放"(隨機(jī)名).exe"到"%SystemRoot%\system32"路徑下獲得"SeDebugPrivilege"權(quán)限,為"%Temp%\~(隨機(jī)名).ex"文件創(chuàng)建名為"vb"的驅(qū)動(dòng)服務(wù),利用驅(qū)動(dòng)篡改系統(tǒng)文件"userinit.exe",實(shí)現(xiàn)開(kāi)機(jī)自啟動(dòng),刪除驅(qū)動(dòng)文件。
5.運(yùn)行"%SystemRoot%\system32"\(隨機(jī)名).exe",防止重復(fù)啟動(dòng)創(chuàng)建互斥變量,無(wú)限查找QQ進(jìn)程與cmd進(jìn)程,讀取QQ進(jìn)程的內(nèi)存信息發(fā)送到指定網(wǎng)站,結(jié)束cmd進(jìn)程。
6.下載病毒列表到"%TEMP%\~(隨機(jī)名).dat",下載并執(zhí)行列表中的病毒。
7.向注冊(cè)表添加"egui.exe"的映像劫持,設(shè)置重啟電腦后刪除"%Temp%\~(隨機(jī)名).ex"與病毒源文件。
病毒創(chuàng)建文件:
%Temp%\(隨機(jī)名).kx
%Temp%\pci.sys
%Temp%\~(隨機(jī)名).ex
%Temp%\~(隨機(jī)名).exe
%SystemRoot%\system32\(隨機(jī)名).exe
%TEMP%\~(隨機(jī)名).dat
病毒創(chuàng)建注冊(cè)表:
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safeboxtray.exe
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aav
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vb
病毒刪除文件:
%Temp%\~(隨機(jī)名).ex
病毒源文件
