beplay体育app下载/欧国联含金量高吗/辽宁篮球直播/福彩快乐8走势图一定牛

   
首 頁  |  微點(diǎn)新聞  |  業(yè)界動(dòng)態(tài)  |  安全資訊  |  安全快報(bào)  |  產(chǎn)品信息  |  網(wǎng)絡(luò)版首頁
通行證  |  客服中心  |  微點(diǎn)社區(qū)  |  微點(diǎn)郵局  |  常見問題  |  在線訂購  |  各地代理商
 

木馬下載者Trojan-Downloader.Win32.Agent.cbma
來源:  2012-07-07 11:24:07

木馬下載者

Trojan-Downloader.Win32.Agent.cbma

捕獲時(shí)間

2012-07-07

危害等級(jí)



病毒癥狀

    該樣本是使用“C\C ”編寫的“木馬下載器”,由微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲,長度為“12,800”字節(jié),圖標(biāo)為“”,使用“exe”擴(kuò)展名,通過文件捆綁、網(wǎng)頁掛馬、下載器下載等方式進(jìn)行傳播。
    病毒主要目的是指引用戶計(jì)算機(jī)到黑客指定的URL地址去下載更多的病毒或木馬后門文件并運(yùn)行。
    用戶中毒后會(huì)出現(xiàn)電腦的運(yùn)行速度變慢,殺軟無故退出而不能啟動(dòng),出現(xiàn)大量未知進(jìn)程等現(xiàn)象。

感染對(duì)象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

傳播途徑

文件捆綁、網(wǎng)頁掛馬、下載器下載

防范措施

已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶,無須任何設(shè)置,微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級(jí)到最新版本,微點(diǎn)主動(dòng)防御都能夠有效清除該病毒。如果您沒有將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版,微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“未知木馬”,請(qǐng)直接選擇刪除處理(如圖1)


圖1 微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲未知病毒(未升級(jí))



如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版本,微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)木馬"Trojan-Downloader.Win32.Agent.cbma”,請(qǐng)直接選擇刪除(如圖2)。


圖2   微點(diǎn)主動(dòng)防御軟件升級(jí)后截獲已知病毒



未安裝微點(diǎn)主動(dòng)防御軟件的手動(dòng)解決辦法:

1.強(qiáng)制結(jié)束"s.exe"、"sqrl.exe"、"heckHost.exe"等病毒進(jìn)程

2.手動(dòng)刪除以下文件:
"%Temp%\vip.exe"
"%Temp%\z1.exe"
"%Temp%\2010.exe"
"%Temp%\DS_Server.exe"
以及衍生文件"%SystemRoot%\system"目錄中"110.bat"、"q.bat"、"1.vbs"、"2.vbs"、"s.exe"、"sqrl.exe"、"Xscan.exe"、"Xscanlib.dll"、 "report.dll"、"packet.dll"、"heckHost.exe"、"cor.exe"、"NaslLib.dll"、"npf.sys"以及"%SystemDriver%\Documents and Settings\All Users\Application Data\DownloadSave\dytyufn.exe"等。

變量聲明:

  %SystemDriver%       系統(tǒng)所在分區(qū),通常為“C:\”
  %SystemRoot%        WINDODWS所在目錄,通常為“C:\Windows”
  %Documents and Settings%  用戶文檔目錄,通常為“C:\Documents and Settings”
  %Temp%           臨時(shí)文件夾,通常為“C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp”
  %ProgramFiles%       系統(tǒng)程序默認(rèn)安裝目錄,通常為:“C:\ProgramFiles”

病毒分析:

1.獲取系統(tǒng)緩存目錄,創(chuàng)建文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\chen.chen",將病毒數(shù)據(jù)寫入此文件。加載該文件到病毒進(jìn)程地址空間(該文件加載之后則以命令"cmd /c 病毒主程序目錄"重新啟動(dòng)病毒主程序)。執(zhí)行之后將文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\chen.chen"從內(nèi)存卸載并刪除,主程序退出。
2.病毒主程序重新啟動(dòng)之后,解密網(wǎng)址字符串,獲取系統(tǒng)緩存目錄,創(chuàng)建文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\chen.juan",將病毒數(shù)據(jù)寫入此文件,加載該文件并調(diào)用其入口函數(shù),從"http://cmd.js***.com:3636/txt/tuziz1.txt"下載文件保存為"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\detmp.tmp"。釋放并刪除"chen.juan"。
3.讀取"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\detmp.tmp"中的網(wǎng)址數(shù)據(jù),獲取系統(tǒng)緩存目錄,創(chuàng)建文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\chen.juan",將病毒數(shù)據(jù)寫入此文件,加載該文件并調(diào)用其入口函數(shù),從"http://119.1**.11*.37:9090/sao/vip.exe"下載文件保存為"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\vip.exe"。釋放并刪除"chen.juan"。
4.獲取系統(tǒng)緩存目錄,創(chuàng)建文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\NOPABCDEFGHIJKL.chen",將病毒數(shù)據(jù)寫入此文件,加載該文件到病毒進(jìn)程地址空間(加載之后執(zhí)行文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\vip.exe" )。之后將"NOPABCDEFGHIJKL.chen"卸載并刪除。
5.以同樣的方式從"http://119.1**.11*.37:9090/tuzi/z1.exe"下載文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\z1.exe"并執(zhí)行。
6.以同樣的方式從"http://119.1**.11*.37:9090/tuzi/2010.exe"下載文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2010.exe"并執(zhí)行。
7.以同樣的方式從"http://119.1**.11*.37:9090/tuzi/DS_Server.exe"下載文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ DS_Server.exe"并執(zhí)行。
8.刪除文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\detmp.tmp"。
9.獲取系統(tǒng)緩存目錄,創(chuàng)建文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\chen.txt"。創(chuàng)建文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\chen.juan"寫入病毒數(shù)據(jù)并加載執(zhí)行,從"http://www.symental.com/ip"下載數(shù)據(jù)寫入到"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmped.txt",釋放并刪除"chen.juan"。
10.獲取本地時(shí)間、進(jìn)程等信息,拼接并打開網(wǎng)址"http://cmd.js***.com:888/tj.asp?mac=&time=2012-5-25--14:47-10&nCnt=
1&nProcName =[System rocess]&RunTimes=1&UserID=z1",以此發(fā)送信息到遠(yuǎn)程主機(jī)。
11.其他病毒文件運(yùn)行之后會(huì)創(chuàng)建"C:\WINDOWS\system"目錄中"110.bat"、"q.bat"、"1.vbs"、"2.vbs"、"s.exe"、"sqrl.exe"、"Xscan.exe"、"Xscanlib.dll"、 "report.dll"、"packet.dll"、"heckHost.exe"、"cor.exe"、"NaslLib.dll"、"npf.sys"以及"C:\Documents and Settings\All Users\Application Data\DownloadSave\dytyufn.exe"等大量病毒文件以及相應(yīng)的執(zhí)行進(jìn)程。

病毒創(chuàng)建文件:

"%Temp%\chen.juan"
"%Temp%\NOPABCDEFGHIJKL.chen"
"%Temp%\detmp.tmp"
"%Temp%\vip.exe"
"%Temp%\z1.exe"
"%Temp%\2010.exe"
"%Temp%\DS_Server.exe"
"%Temp%\chen.txt"
衍生文件
"%SystemRoot%\system"目錄中"110.bat"、"q.bat"、"1.vbs"、"2.vbs"、"s.exe"、"sqrl.exe"、"Xscan.exe"、"Xscanlib.dll"、 "report.dll"、"packet.dll"、"heckHost.exe"、"cor.exe"、"NaslLib.dll"、"npf.sys"以及"C:\Documents and Settings\All Users\Application Data\DownloadSave\dytyufn.exe"等大量病毒文件。

病毒刪除文件:

"%Temp%\chen.juan"
"%Temp%\detmp.tmp"
"%Temp%\NOPABCDEFGHIJKL.chen"

病毒訪問網(wǎng)絡(luò):

"http://cmd.js***.com:3636/txt/tuziz1.txt"
"http://119.1**.11*.37:9090/sao/vip.exe"
"http://119.1**.11*.37:9090/tuzi/z1.exe"
"http://119.1**.11*.37:9090/tuzi/2010.exe"
"http://119.1**.11*.37:9090/tuzi/DS_Server.exe"
"http://www.sy***tal.com/ip"

免費(fèi)體驗(yàn)
下  載
安裝演示