下載者
Trojan-Downloader.Win32.Agent.bumi
捕獲時(shí)間
2011-05-27
危害等級(jí)
中
病毒癥狀
該樣本是使用“VC ”編寫(xiě)的后門(mén)程序�����,由微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲,長(zhǎng)度為“49,252 字節(jié)”��,圖標(biāo)為“
”,病毒擴(kuò)展名為“.exe”,病毒主要通過(guò)“文件捆綁”�����、“下載器下載”�����,“網(wǎng)頁(yè)掛馬”等方式傳播�����,病毒主要目的從指定網(wǎng)站下載病毒到用戶(hù)計(jì)算機(jī),用戶(hù)中毒后����,將訪(fǎng)問(wèn)大量黑客指定的網(wǎng)站���,出現(xiàn)系統(tǒng)運(yùn)行緩慢��,網(wǎng)速變慢,出現(xiàn)大量未知進(jìn)程。
感染對(duì)象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網(wǎng)頁(yè)掛馬����、下載器下載
防范措施
已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶(hù)��,無(wú)須任何設(shè)置,微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無(wú)論您是否已經(jīng)升級(jí)到最新版本��,微點(diǎn)主動(dòng)防御都能夠有效清除該病毒����。如果您沒(méi)有將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版,微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“未知木馬”�,請(qǐng)直接選擇刪除處理(如圖1)
圖1 微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲未知病毒(未升級(jí))
如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版本��,微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)木馬"Trojan-Downloader.Win32.Agent.bumi”,請(qǐng)直接選擇刪除(如圖2)�����。
圖2 微點(diǎn)主動(dòng)防御軟件升級(jí)后截獲已知病毒
未安裝微點(diǎn)主動(dòng)防御軟件的手動(dòng)解決辦法:
手動(dòng)刪除以下文件
%SystemRoot%\system32\popupko.dll
%SystemRoot%\system32\cehProcessgy.dll
%SystemDriver%\wxclient
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū)�����,通常為“C:\”
%SystemRoot% WINDODWS所在目錄���,通常為“C:\Windows”
%Documents and Settings% 用戶(hù)文檔目錄��,通常為“C:\Documents and Settings”
%Temp% 臨時(shí)文件夾,通常為“C:\Documents and Settings\當(dāng)前用戶(hù)名稱(chēng)\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認(rèn)安裝目錄���,通常為:“C:\ProgramFiles”
病毒分析:
(1),判斷自身是否為%SystemRoot%\conime.exe,如果不是�����,復(fù)制自身為%SystemRoot%\conime.exe,加載執(zhí)行conime.exe,下載http://www.011**.com/11d.txt到%SystemDriver%\wxclient,獲取%SystemDriver%\wxclient配置內(nèi)容�����,根據(jù)配置內(nèi)容下載大量未知木馬到本機(jī)運(yùn)行�。
(2)�����,釋放病毒代碼到%Temp%\\332233404453.jpg(04453為隨機(jī)),修改其創(chuàng)建時(shí)間和修改時(shí)間����。復(fù)制332233404453.jpg為%SystemRoot%\system32\popupko.dll�,設(shè)置popupko.dll為隱藏屬性����,刪除332233404453.jpg
(3),創(chuàng)建%SystemDriver%\supe0d3ef5s1x4a5d7f.bat批處理文件�,寫(xiě)入批處理命令rundll32.exe popupko.dll FunctionStart��,創(chuàng)建進(jìn)程執(zhí)行批處理程序加載運(yùn)行popupko.dll,刪除%SystemDriver%\supe0d3ef5s1x4a5d7f.bat。
(4)����,創(chuàng)建互斥量 cntest#32770防止病毒多次運(yùn)行�����,創(chuàng)建系統(tǒng)進(jìn)程快照,遍歷查找cmd.exe�,如果存在則強(qiáng)行終止此進(jìn)程���。
(5)�,獲取cehProcessgy.dll配置信息�,創(chuàng)建線(xiàn)程,每隔一段時(shí)間打開(kāi)黑客指定的網(wǎng)站��,更新配置信息�。
病毒創(chuàng)建文件:
%Temp%\\332233404453.jpg(04453為隨機(jī))
%SystemDriver%\wxclient
%SystemRoot%\system32\popupko.dll
%SystemRoot%\system32\cehProcessgy.dll
病毒訪(fǎng)問(wèn)網(wǎng)絡(luò):
http://www.011**.com/5.exe
http://www.*mall.com/
http://u.589**.com
http://www.suvvvs***.com/d.php?type=12&said=4349
