木馬下載器
Trojan-Downloader.win32.Geral.chd
捕獲時(shí)間
2011-02-03
危害等級(jí)
中
病毒癥狀
該樣本是使用“VC”編寫的木馬下載器�����,由微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲,采用“UPX”加殼方式����,企圖躲避特征碼掃描����,加殼后長度為“137,216 字節(jié)”�,圖標(biāo)為“ ”,病毒擴(kuò)展名為“exe”�����,主要通過“文件捆綁”�、“下載器下載”、“移動(dòng)存儲(chǔ)介質(zhì)”等方式傳播��,病毒主要目的為下載病毒并運(yùn)行�。
用戶中毒后,會(huì)出現(xiàn)系統(tǒng)運(yùn)行緩慢�、網(wǎng)絡(luò)速度降低����、出現(xiàn)大量未知進(jìn)程等現(xiàn)象���。
感染對(duì)象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁���、網(wǎng)頁掛馬�����、下載器下載
防范措施
已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶���,無須任何設(shè)置,微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級(jí)到最新版本��,微點(diǎn)主動(dòng)防御都能夠有效清除該病毒�����。如果您沒有將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版����,微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“未知間諜”��,請(qǐng)直接選擇刪除處理(如圖1)
圖1 微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲未知病毒(未升級(jí))
如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版本�,微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)木馬"Trojan-Downloader.win32.Geral.che”��,請(qǐng)直接選擇刪除(如圖2)��。
圖2 微點(diǎn)主動(dòng)防御軟件升級(jí)后截獲已知病毒
未安裝微點(diǎn)主動(dòng)防御軟件的手動(dòng)解決辦法:
1、手動(dòng)刪除以下文件:
%SystemRoot%\system32\updater.exe
%Temp%\~Frm.exe
%SystemRoot%\system32\scvhost.exe
2�、手動(dòng)恢復(fù)以下文件:
%SystemRoot%\system32\userinit.exe
%SystemRoot%\system32\drivers\etc\hosts
3���、手動(dòng)刪除以下注冊(cè)表值:
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[安全軟件]
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asyncmac
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aec
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
值:RsTray
數(shù)據(jù):%SystemRoot%\system32\scvhost.exe
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū)�,通常為“C:\”
%SystemRoot% WINDODWS所在目錄�����,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄���,通常為“C:\Documents and Settings”
%Temp% 臨時(shí)文件夾�����,通常為“C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認(rèn)安裝目錄,通常為:“C:\ProgramFiles”
病毒分析:
(1)獲取進(jìn)程快照,遍歷進(jìn)程,檢查自身是否啟動(dòng)����。如果沒有找到則釋放動(dòng)態(tài)庫文件%SystemRoot%\system32\killdll.dll。
(2)調(diào)用%SystemRoot%\system32\rundll32.exe加載%SystemRoot%\system32\killdll.dll���。
(3)在temp目錄下生成文件~Frm.exe,刪除動(dòng)態(tài)庫文件%SystemRoot%\system32\killdll.dll�����。
(4)將自身復(fù)制到%SystemRoot%\system32\目錄下并得命名為updater.exe。
(5)創(chuàng)建驅(qū)動(dòng)文件%SystemRoot%\system32\drivers\pcidump.sys�����,并以服務(wù)方式加載��。
(6)調(diào)用%SystemRoot%\system32\killdll.dll加載���,遍歷CCENTER.EXE等安全軟件進(jìn)程���,對(duì)大量安全軟件映像劫持��,并刪除啟動(dòng)項(xiàng)文件%SystemRoot%\system32\drivers\aec.SYS,去掉%SystemRoot%\system32\drivers\AsyncMac.sys的文件保護(hù)。
(7)調(diào)用驅(qū)動(dòng)pcidump.Sys用來修改userinit.Exe文件��。
(8)修改注冊(cè)表實(shí)現(xiàn)%SystemRoot%system32\scvhost.Exe自啟動(dòng)�;
(10)下載文件覆蓋系統(tǒng)hosts文件,發(fā)送統(tǒng)計(jì)信息到指定網(wǎng)站,下載大量木馬到本地運(yùn)行;
(11)拷貝自身到%SystemRoot%\system32\scvhost.exe��;
(12)生成批處理文件_undelme.bat�����,實(shí)現(xiàn)病毒自刪除�����。
病毒創(chuàng)建文件:
%SystemRoot%\system32\killdll.dll
%Temp%\~Frm.exe
%SystemRoot%\system32\updater.exe
%SystemRoot%\system32\drivers\pcidump.sys
%SystemRoot%\system32\userinit.exe
%Temp%\_undelme.bat
病毒修改文件:
%SystemRoot%\system32\userinit.Exe
%SystemRoot%\system32\drivers\etc\hosts
病毒刪除文件:
%SystemRoot%\system32\killdll.dll
%SystemRoot%\system32\drivers\aec.Sys
%SystemRoot%\system32\drivers\pcidump.sys
%SystemRoot%\system32\\drivers\AsyncMac.sys
病毒創(chuàng)建注冊(cè)表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asyncmac
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aec
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[所有劫持]
病毒訪問網(wǎng)絡(luò):
http://*****.cn/img/aa1.exe
http://*****.cn/img/aa2.exe
http://*****.cn/img/aa3.exe
http://*****.cn/img/aa4.exe
http://*****.cn/img/aa5.exe
http://*****.cn/img/aa6.exe
http://*****.cn/img/aa7.exe
http://*****.cn/img/aa8.exe
http://*****.cn/img/aa9.exe
http://*****.cn/img/aa10.exe
http://*****.cn/img/aa11.exe
http://*****.cn/img/aa12.exe
http://*****.cn/img/aa13.exe
http://*****.cn/img/aa14.exe
http://*****.cn/img/aa15.exe
http://*****.cn/img/aa16.exe
http://*****.cn/img/aa17.exe
http://*****.cn/img/aa18.exe
http://*****.cn/img/aa19.exe
http://*****.cn/img/aa20.exe
http://*****.cn:1433/r/aa21.exe
http://*****.cn:1433/r/aa22.exe
http://*****.cn:1433/r/aa23.exe
http://*****.cn:1433/r/aa24.exe
http://*****.cn:1433/r/aa25.exe
http://*****.cn:1433/r/aa26.exe
http://*****.cn:1433/r/aa27.exe
http://58.51.90.***:8080/news/image.jpg
http://*****.cn:1433/r/aa29.exe
http://*****.cn:1433/r/aa30.exe
http://*****.cn:1433/r/aa31.exe |
