木馬下載者
Trojan-Downloader.Win32.Infector.b
捕獲時間
2012-12-18
危害等級
中
病毒癥狀
該樣本是使用“C\C ”編寫的“木馬下載者”,由微點主動防御軟件自動捕獲,采用“UPX”加殼,企圖避過殺軟掃描,加殼后長度為“12,800”字節(jié),圖標為“ ”,使用“exe”擴展名,通過文件捆綁、網頁掛馬、下載器下載等方式進行傳播,病毒主要目的是惡意修改用戶系統(tǒng)并下載更多的病毒或木馬后門文件運行。
用戶中毒后會出現電腦的運行速度變慢,殺軟無故退出而不能啟動,出現大量未知進程等現象。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網頁掛馬、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發(fā)現該病毒后將報警提示您發(fā)現“未知木馬”,請直接選擇刪除處理(如圖1)
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發(fā)現木馬"Trojan-Downloader.Win32.Infector.b”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1.停止并刪除服務"SVCH0ST"、"MintRoot"
2.手動刪除文件
"%SystemRoot%\NinjaZ.exe"
"%SystemRoot%\TEMP\list.txt"
"%SystemRoot%\TEMP\1.exe"
"%SystemRoot%\system32\Rootkit.sys"
3.清除圖標為病毒圖標的所有被感染的文件
4.手動刪除鍵值項
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\NinjaZ.exe"
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū),通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析:
1.獲取系統(tǒng)目錄,將自身拷貝重命名為"C:\WINDOWS\NinjaZ.exe",并設置屬性為只讀、系統(tǒng)、隱藏。
2.設置鍵值項"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\ FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\NinjaZ.exe" = "C:\WINDOWS\NinjaZ.exe:*:Enabled:Svchost",將自身添加到防火墻允許列表。
3.連接服務控制管理器,創(chuàng)建名字為"SVCH0ST"的服務,顯示名稱為"SVCH0ST",啟動類型為自動,執(zhí)行映像指向"C:\WINDOWS\NinjaZ.exe"。
4.以隱藏的方式執(zhí)行"C:\WINDOWS\NinjaZ.exe",該文件執(zhí)行之后啟動病毒服務"SVCH0ST"。
5.病毒服務"SVCH0ST"啟動之后,開辟新線程:
(1)提升當前進程權限為"SeDebugPrivilege(調試特權級)",查找并強制結束進程"taskmgr.exe、kv.exe、avp.exe、rav.exe、KVSrvXP.exe、KVSrvXP_1.exe、Mcshield.exe"。
(2)下載文件"http://nwmonster.8**6.org/downloader.txt"保存為"C:\WINDOWS\TEMP\list.txt"。
(3)循環(huán)讀取文件"C:\WINDOWS\TEMP\list.txt"中所有病毒網址信息并下載為本地文件"C:\WINDOWS\TEMP\1.exe",之后執(zhí)行病毒文件。
(4)獲取系統(tǒng)目錄,創(chuàng)建文件"C:\WINDOWS\system32\Rootkit.sys",寫入病毒數據。
(5)連接服務控制管理器,創(chuàng)建名字為"MintRoot"的服務,執(zhí)行映像指向"C:\WINDOWS\system32\Rootkit.sys",并啟動此服務。
(6)與內核設備對象"\\.\Global\MintRoot"通信,隱藏進程"svchost.exe、explorer.exe、test.exe"、目錄"WINDOWS" "Program Files"、文件"C:\WINDOWS\system32\Rootkit.sys"。
(7)連接到網絡"nwmonster.8**6.org"。
6.遍歷所有磁盤中第一層目錄中所有可執(zhí)行文件,將病毒文件捆綁到可執(zhí)行文件當中,并隨可執(zhí)行文件執(zhí)行而執(zhí)行。
病毒創(chuàng)建文件:
"%SystemRoot%\NinjaZ.exe"
"%SystemRoot%\TEMP\list.txt"
"%SystemRoot%\TEMP\1.exe"
"%SystemRoot%\system32\Rootkit.sys"
圖標為病毒圖標的所有被感染的文件
病毒創(chuàng)建注冊表:
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\ FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\NinjaZ.exe"
病毒訪問網絡:
"http://nwmonster.8**6.org/downloader.txt"
"nwmonster.8**6.org"
文件"%SystemRoot%\TEMP\list.txt"中所有病毒網址 |
