木馬下載者
Trojan-Downloader.Win32.Geral.dji
捕獲時間
2012-10-30
危害等級
中
病毒癥狀
該樣本是使用“C/C ”編寫的“木馬下載者”,由微點主動防御軟件自動捕獲,長度為“32,556”字節,圖標為“
”,使用“exe”擴展名,通過移動存儲、網頁掛馬、下載器下載等方式進行傳播,病毒主要目的是惡意修改用戶系統并下載更多的病毒或木馬后門文件運行。
用戶中毒后會出現電腦的運行速度變慢,殺軟無故退出而不能啟動,出現大量未知進程等現象。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網頁掛馬、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1)
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現木馬"Trojan-Downloader.Win32.Geral.dji”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1.手動停止并刪除服務"auvo"
2.手動刪除文件
"%ProgramFiles%\Common Files\rhdltecq\oioifz.pif"
"%SystemRoot%\system32\44.DEP(數字隨機生成)"
"%SystemRoot%\system\ZeTz"
"%SystemRoot%\temp\onw.ini"
多個"%SystemDriver%\Documents and Settings\All Users\Documents\elsA.tmp(文件名隨機)"
"移動磁盤根目錄偽裝為文件夾的exe文件"
3.修改注冊表為正常值
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad\WebCheck"
"HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\<默認>"
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析:
1.創建名字為"NYAONTAYTAXIAOKANWO"的互斥對象,防止重復運行。
2.獲取系統進程列表,查找進程"ekrn.EXE",找到則執行"sc.exe delete ekrn"、"taskkill.exe /im ekrn.exe /f"、"taskkill.exe /im egui.exe /f"等命令,結束殺軟進程及服務。
3.創建目錄"C:\Program Files\Common Files\rhdltecq",并將自身拷貝重命名為"C:\Program Files\Common Files\rhdltecq\oioifz.pif"。
4.獲取系統目錄,創建文件"C:\WINDOWS\system32\44.DEP(數字隨機生成)",寫入病毒數據,并加載該文件到當前進程地址空間,并調用其導出函數"Whaier"、"Simenze"。
5設置鍵值項"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad\WebCheck" = "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"、
設置鍵值項"HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\<默認>" = "C:\WINDOWS\system32\44.DEP",實現病毒文件開機自啟動。
6. "C:\WINDOWS\system32\44.DEP(數字隨機生成)"加載執行之后:
(1)以隱藏的方式執行命令"cmd /c sc stop policyagent",停止IPSEC安全策略服務。
并判斷當前進程是否為"explorer.exe",如果是則:
(2)創建文件"C:\WINDOWS\system\ZeTz",寫入病毒數據,創建名字為"auvo"的服務,執行映像指向"C:\WINDOWS\system\ZeTz",之后啟動此服務并刪除文件"C:\WINDOWS\system\ZeTz"。
(3)與內核設備對象"\\.\XIAOJIUWO"通信,并試圖破壞以下殺軟或安全防護進程
"avp.EXE"、"ekrn.EXE"、"360rp.EXE"、"360tray.EXE"、"egui.EXE"、"nod32krn.EXE"、 "nod32kui.EXE"、"safeboxtray.EXE"、"360safebox.EXE"、"krnl360svc.EXE"、 "ZhuDongFangYu.EXE"、"360setupscan.EXE"、"RSTray.EXE"、"360sd.EXE"、 "360rps.EXE"、"360sdrun.EXE"、"360speedld.EXE"、"360leakfixer.EXE"、 "DumpUper.EXE"、"avgnt.EXE"、"avnotify.EXE"、"avguard.EXE"、"guardgui.EXE"、 "avwebgrd.EXE"、"sched.EXE"、"360safe.exe"、"mcshield.EXE"、"avfwsvc.EXE"、 "BacsTray.EXE"、"kasmain.EXE"、"kaccore.EXE"、"kastray.EXE"、"kudiskmon.EXE"、 "beikearpmain.EXE"、"beikearpsvc.EXE"、"beikescan.EXE"、"RsMgrSvc.EXE"、"kav.EXE"、 "RavMonD.EXE"、"kavstart.EXE"、"kwatch.EXE""kswebshield.exe"、"kxedefend.EXE"、 "kxesapp.EXE"、"kxeserv.EXE"、"kxetray.EXE"、"krepair.EXE"、"kpopserver.exe"、 "KVMonXP.EXE"、"KVSrvXP.EXE"、"KSafe.EXE"、"KSafeTray.EXE"、"KSafeSvc.EXE"、 "KANSvr.EXE"、"KANSGUI.EXE"、"QQDoctorRtp.exe"、"QQPCRTP.EXE"、"QQPCTray.EXE"、 "TSVulFWMan.EXE"、"QQPCMgr.EXE"、"Twister.EXE"、"avp.EXE"、"QQPCLeakScan.EXE"、 "qqpcmgr.exe"、"360quart.exe""360realpro.exe",之后停止并刪服務"auvo"。
(4)獲取系統目錄,下載文件"http://e.shidai****ian.com/s.gif"保存為"C:\WINDOWS\temp\onw.ini"。
(5)讀取并解密"C:\WINDOWS\temp\onw.ini"中病毒網址信息,如"http://203.17*.23*.158:66/v/i42.rar",下載該文件保存為"C:\Documents and Settings\All Users\Documents\elsA.tmp(文件名隨機)",之后以隱藏的方式執行該文件并刪除url緩存文件。
(6)以同樣的方式下載病毒文件并執行:
"http://203.17*.23*.158:66/v/s.rar"
"http://203.17*.23*.158:66/v/o2.rar"
"http://203.17*.23*.158:66/v/t.rar"
"http://203.17*.23*.158:66/v/p43.rar",之后刪除文件"C:\WINDOWS\temp\onw.ini"。
(7)枚舉所以可移動磁盤,并將該磁盤根目錄下所以文件夾隱藏,并將病毒文件"C:\Program Files\Common Files\rhdltecq\oioifz.pif"拷貝重命名為根目錄下所以"文件夾名.exe",睡眠30秒,重復執行該動作。
病毒創建文件:
"%ProgramFiles%\Common Files\rhdltecq\oioifz.pif"
"%SystemRoot%\system32\44.DEP(數字隨機生成)"
"%SystemRoot%\system\ZeTz"
"%SystemRoot%\temp\onw.ini"
多個"%SystemDriver%\Documents and Settings\All Users\Documents\elsA.tmp(文件名隨機)"
"移動磁盤根目錄偽裝為文件夾的exe文件"
病毒修改注冊表:
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad\WebCheck"
"HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\<默認>"
病毒訪問網絡:
"http://e.shidai****ian.com/s.gif"
"http://203.17*.23*.158:66/v/i42.rar"
"http://203.17*.23*.158:66/v/s.rar"
"http://203.17*.23*.158:66/v/o2.rar"
"http://203.17*.23*.158:66/v/t.rar"
"http://203.17*.23*.158:66/v/p43.rar"
