木馬下載者
Trojan-Downloader.Win32.Agent.ccai
捕獲時間
2012-07-17
危害等級
中
病毒癥狀
該樣本是使用“VC ”編寫的“木馬下載器”,由微點主動防御軟件自動捕獲,采用“nSPack”加殼方式,企圖躲避特征碼掃描,加殼后長度為“38,946”字節,圖標為“
”,使用“exe”擴展名,通過文件捆綁、網頁掛馬、下載器下載等方式進行傳播。
病毒主要目的是指引用戶計算機到黑客指定的URL地址去下載更多的病毒或木馬后門文件并運行。
用戶中毒后會出現電腦的運行速度變慢,殺軟無故退出而不能啟動,出現大量未知進程等現象。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網頁掛馬、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知間諜”,請直接選擇刪除處理(如圖1)
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現木馬"Trojan-Downloader.Win32.Agent.ccai”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1.手動停止并刪除"pcidump"、"AsyncMac"、"aec"等病毒服務
2.手動刪除以下文件
"%Temp%\~Frm.exe"
"%SystemRoot%\system32\updater.exe"
"%SystemRoot%\system32\drivers\pcidump.sys"
"%Temp%\tmp.tmp"
"%Temp%\pctools.tmp"
"%Temp%\8939960_xeex.exe(前綴數字隨機生成)"
"%SystemRoot%\system32\drivers\AsyncMac.sys"
"%SystemRoot%\system32\drivers\aec.sys"
3.手動刪除注冊表
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\殺軟名稱"
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析:
1.獲取系統目錄,創建文件"C:\WINDOWS\system32\killdll.dll",寫入病毒數據。加載該文件并執行其導出函數"killall",命令格式如"C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\killdll.dll killall",之后將該文件刪除。
2.獲取系統緩存目錄,創建文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~Frm.exe",寫入病毒數據并執行。
3.獲取系統目錄,將病毒自身移動重命名為"C:\WINDOWS\system32\updater.exe"。
4.獲取系統目錄,創建文件"C:\WINDOWS\system32\drivers\pcidump.sys",寫入病毒數據,創建內核驅動類型服務"pcidump",執行映像指向"\??\C:\WINDOWS\system32\drivers\pcidump.sys",并啟動此服務。
5.打開設備對象"\\.\pcidump",發送"222014"控制請求,之后將"pcidump"服務停止并刪除,該文件加載之后hook SSDT函數"ZwQuerySystemInformation",隱藏病毒文件、進程等信息。
6.獲取系統緩存目錄,創建文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_undelme.bat",寫入批處理并執行,將病毒文件和自身刪除。
7."C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~Frm.exe"運行之后:
(1)判斷自身是否為"C:\WINDOWS\system32\userinit.exe",如果是則執行"C:\WINDOWS\explorer.exe",并跳過步驟(2)。
(2)設置"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\updater" = "C:\WINDOWS\system32\updater.exe"實現病毒開機自啟動。
(3)向全局原子表中添加名字為"TTXOOBBAACCDD"的原子,如果該名字存在則退出,避免病毒重復運行。
(4)獲取系統緩存目錄,創建文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.tmp",寫入病毒數據。
(5)創建宿主進程"C:\WINDOWS\system32\svchost.exe"。創建遠程線程將"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.tmp"注入到該進程并執行。
(6)拼接并打開網址"http://www.*.c**/count.asp?mac=00c029****fe&xxx=z1",將本地mac地址發送到遠程主機。
8."tmp.tmp"加載之后,開辟新線程,下載文件"http://zhu.wujid*s*ob*:9099/a.txt"保存為"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\pctools.tmp"。讀取其中的網址信息:
"http://zhu.wujid*s*ob*.com:9099/Best/s*ob*wujiqq.exe"
"http://zhu.wujid*s*ob*.com:9099/Best/s*ob*wujidnf.exe"
"http://zhu.wujid*s*ob*.com:9099/Best/s*ob*wuji2.exe"
"http://zhu.wujid*s*ob*.com:9099/Best/ss*ob*wuji3.exe"
"http://zhu.wujid*s*ob*.com:9099/Best/s*ob*wuji4.exe"
"http://zhu.wujid*s*ob*.com:9099/Best/s*ob*wuji5.exe"
"http://zhu.wujid*s*ob*.com:9099/Best/s*ob*wuji7.exe"
"http://zhu.wujid*s*ob*.com:9099/Best/s*ob*wuji9.exe"
"http://zhu.wujid*s*ob*.com:9099/Best/s*ob*wuji12.exe"
"http://zhu.wujid*s*ob*.com:9099/Best/s*ob*wuji13.exe"
"http://zhu.wujid*s*ob*.com:9099/Best/s*ob*wuji23.exe"
"http://zhu.wujid*s*ob*.com:9099/Best/systtm.exe"
"http://down3.e***ock.com.cn/stockdoctor***883.exe"
"http://zhu.wujid*s*ob*.com:9099/Best/s*ob*wujitu.exe"
"http://zhu.wujid*s*ob*.com:9099/Best/false.exe"
保存為本地文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\8939960_xeex.exe(前綴數字隨機生成)"并執行。
9."killdll.dll"加載運行之后:
(1)提升當前進程權限為"SeDebugPrivilege(調試特權級)"。
(2)枚舉進程快照,查找進程"CCENTER.EXE(瑞星組件進程)",刪除原文件"C:\WINDOWS\system32\drivers\AsyncMac.sys",重新創建此文件并寫入病毒數據,創建內核驅動類型服務"AsyncMac",執行映像指向"C:\WINDOWS\system32\drivers\AsyncMac.sys",并啟動此服務。
(3)打開設備對象"\\.\KILLPS_Drv",查找如下反病毒進程:
"avp.exe"、"safeboxTray.exe"、"360Safebox.exe"、"360tray.exe"、"antiarp.exe"、"ekrn.exe"、 "RsAgent.exe"、"egui.exe"、"RavMon.exe"、"RavMonD.exe"、"RavTask.exe"、"AAglvgp,gzg"、 "RavStub.exe"、"RsTray.exe"、"ScanFrm.exe"、"Rav.exe"、"AgentSvr.exe"、"AAglvgp,gzg"、 "QQDoctor.exe"、"McProxy.exe"、"McNASvc.exe"、"Mcshield.exe"、"rsnetsvr.exe"、 "MpfSrv.exe"、"MPSVC.EXE"、"MPSVC3.EXE"、"IKQQta,gzg"、"IKQQta,gzg"、"kmailmon.exe"、 "KavStart.exe"、"KPFW32.EXE"、"KVMonXP.KXP"、"KVSrvXP.exe"、"ccSetMgr.exe"、 "ccEvtMgr.exe"、"defwatch.exe"、"rtvscan.exe"、"ccapp.exe"、"vptray.exe"、"mcupdmgr.exe"、 "mcproxy.exe"、"mcshield.exe"、"MPFSrv.exe"、"mcsysmon.exe"、"mcmscsvc.exe"、 "mcnasvc.exe"、"mcagent.exe"、"mcshell.exe"、"mcinsupd.exe"、"bdagent.exe"、 "livesrv.exe"、"vsserv.exe"、"xcommsvr.exe"。并向設備對象發送"222004"控制請求以及進程id,強制結束該進程,并以"cmd /c sc config **** start= disabled"、"cmd /c taskkill /im **** /f"等命令禁用"ekrn.exe"、"avp.exe"、"bdagent.exe"等殺軟服務,結束殺軟進程。
(2)創建以上殺軟進程映像劫持鍵值項"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\殺軟名稱" = "C:\WINDOWS\system32\svchost.exe",企圖攔截殺軟進程啟動。
(3)停止服務"AsyncMac",并刪除文件"C:\WINDOWS\system32\drivers\AsyncMac.sys"。
(4)創建病毒文件替換掉文件"C:\WINDOWS\system32\drivers\aec.sys",寫入病毒數據,創建內核驅動類型服務"aec",執行映像指向"C:\WINDOWS\system32\drivers\aec.sys",并啟動此服務。
(5)打開設備對象"\\.\xzwinDOS",之后停止服務"aec",刪除文件"C:\WINDOWS\system32\drivers\aec.SYS"。
(6)執行命令"cmd /c sc config RavTask start= disabled"、"cmd /c sc config RsScanSrv start= disabled"、"cmd /c sc config RavTray start= disabled"、"cmd /c sc config RsRavMon start= disabled"、"cmd /c sc config RavCCenter start= disabled"。禁用殺軟服務。
病毒創建文件:
"%SystemRoot%\system32\killdll.dll"
"%Temp%\~Frm.exe"
"%SystemRoot%\system32\updater.exe"
"%SystemRoot%\system32\drivers\pcidump.sys"
"%Temp%\_undelme.bat"
"%Temp%\tmp.tmp"
"%Temp%\pctools.tmp"
"%Temp%\8939960_xeex.exe(前綴數字隨機生成)"
"%SystemRoot%\system32\drivers\AsyncMac.sys"
"%SystemRoot%\system32\drivers\aec.sys"
病毒刪除文件:
"%SystemRoot%\system32\killdll.dll"
"%Temp%\_undelme.bat"
"%SystemRoot%\system32\drivers\AsyncMac.sys"
"%SystemRoot%\system32\drivers\aec.sys"
病毒文件自身
病毒修改注冊表:
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\殺軟名稱"
