木馬下載者
Trojan-Downloader.Win32.Agent.cbep
捕獲時間
2012-06-02
危害等級
中
病毒癥狀
該樣本是使用“Microsoft Visual C 6.0”編寫的“木馬下載器”����,由微點主動防御軟件自動捕獲,采用PECompact 2.x加殼,企圖避過殺毒軟件掃描。加殼后長度為“21,504”字節����,圖標為“
”����,使用“exe”擴展名���,通過文件捆綁����、網頁掛馬、下載器下載等方式進行傳播,病毒主要目的是指引用戶計算機到黑客指定的URL地址去下載更多的病毒或木馬后門文件并運行����。
用戶中毒后會出現電腦的運行速度變慢���,殺軟無故退出而不能啟動��,出現大量未知進程等現象。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網頁掛馬、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶���,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本�,微點主動防御都能夠有效清除該病毒��。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1)
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本��,微點將報警提示您發現木馬"Trojan-Downloader.Win32.Agent.cbep”���,請直接選擇刪除(如圖2)��。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
強制結束"s323fq.exe"���、"temp0406.exe"等名字無意義的隨機進程。
手動刪除以下文件:
%Temp%\Au_*.tmp(*為隨機后綴)"(12個)
"%ProgramFiles%\Common Files\Ag_0503.ini"
"%SystemDriver%\PWSN1cl.exe(文件名隨機)"
"%SystemDriver%\CUyDvHD.bat(文件名隨機)"
"%ProgramFiles%\Internet Explorer\bindingcopy.exe"
"%Temp%\Kuping_s_11048.exe"
"%Temp%\s323fq.exe"
"%ProgramFiles%\Internet Explorer\temp0406.exe"
"%SystemRoot%\system32\h2mwiq4\nvjcu4v.exe"
"%SystemRoot%\system32\nvjcu4v\h2mwiq4.exe"
"%SystemDriver%\N123P\ctfmon.exe"
"%SystemDriver%\N123P\svchost.exe"
變量聲明:
%SystemDriver% 系統所在分區���,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄��,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾�,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析:
1.判斷目錄"C:\Program Files\Common Files"是否存在���,如果不存在則創建。
2.創建文件"C:\Program Files\Common Files\Ag_0503.ini"��。
3.獲取系統緩存目錄����,創建文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Au_*.tmp(*為隨機后綴)",讀取網絡"http://hu.pv4**4.net:9**9/tj/111.dll"數據�����,并寫入到"Au_*.tmp"����,讀取"Au_*.tmp"前兩個字節,判斷是否為"MZ(PE文件標識)"�,如果是則執行該文件�。
4.以同樣方式讀取
"http://hu.pv4**4.net:9**9/tj/222.dll"
"http://hu.pv4**4.net:9**9/tj/333.dll"
"http://hu.pv4**4.net:9**9/tj/444.dll"
"http://hu.pv4**4.net:9**9/tj/555.dll"
"http://hu.pv4**4.net:9**9/tj/666.dll"
"http://hu.pv4**4.net:9**9/tj/777.dll"
"http://hu.pv4**4.net:9**9/tj/888.dll"
"http://hu.pv4**4.net:9**9/tj/999.dll"
"http://hu.pv4**4.net:9**9/tj/101010.dll"
"http://hu.pv4**4.net:9**9/tj/111111.dll"
"http://hu.pv4**4.net:9**9/tj/121212.dll"網絡數據并創建到文件"Au_*.tmp(*為隨機后綴)"��,判斷該些文件是否有"PE"標識并執行��。
5.每創建執行一個文件則向"C:\Program Files\Common Files\Ag_0503.ini"寫入一行記錄數據��。
6.各個下載到本地的程序運行之后:
創建文件"c:\PWSN1cl.exe(文件名隨機)",創建文件"c:\CUyDvHD.bat(文件名隨機)"并執行�����。
創建文件"C:\Program Files\Internet Explorer\bindingcopy.exe"并執行���。
下載文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Kuping_s_11048.exe"并安裝���,設置開機啟動�����。
創建文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\s323fq.exe"、"C:\Program Files\Internet Explorer\temp0406.exe"�����、"c:\windows\system32\h2mwiq4\nvjcu4v.exe"���、"c:\windows\system32\nvjcu4v\h2mwiq4.exe"���、"c:\N123P\ctfmon.exe"����、"c:\N123P\svchost.exe"并執行。
7.病毒文件圖標設置為文件夾圖標�����,并修改系統設置����,強制隱藏文件后綴名,迷惑用戶��。
病毒創建文件:
%Temp%\Au_*.tmp(*為隨機后綴)"(12個)
"%ProgramFiles%\Common Files\Ag_0503.ini"
"%SystemDriver%\PWSN1cl.exe(文件名隨機)"
"%SystemDriver%\CUyDvHD.bat(文件名隨機)"
"%ProgramFiles%\Internet Explorer\bindingcopy.exe"
"%Temp%\Kuping_s_11048.exe"
"%Temp%\s323fq.exe"
"%ProgramFiles%\Internet Explorer\temp0406.exe"
"%SystemRoot%\system32\h2mwiq4\nvjcu4v.exe"
"%SystemRoot%\system32\nvjcu4v\h2mwiq4.exe"
"%SystemDriver%\N123P\ctfmon.exe"
"%SystemDriver%\N123P\svchost.exe"
病毒刪除文件:
樣本自身文件
"c:\PWSN1cl.exe(文件名隨機)"
"c:\CUyDvHD.bat(文件名隨機)"
病毒訪問網絡:
"http://hu.pv4**4.net:9**9/tj/111.dll"
"http://hu.pv4**4.net:9**9/tj/222.dll"
"http://hu.pv4**4.net:9**9/tj/333.dll"
"http://hu.pv4**4.net:9**9/tj/444.dll"
"http://hu.pv4**4.net:9**9/tj/555.dll"
"http://hu.pv4**4.net:9**9/tj/666.dll"
"http://hu.pv4**4.net:9**9/tj/777.dll"
"http://hu.pv4**4.net:9**9/tj/888.dll"
"http://hu.pv4**4.net:9**9/tj/999.dll"
"http://hu.pv4**4.net:9**9/tj/101010.dll"
"http://hu.pv4**4.net:9**9/tj/111111.dll"
"http://hu.pv4**4.net:9**9/tj/121212.dll"
