beplay体育app下载/欧国联含金量高吗/辽宁篮球直播/福彩快乐8走势图一定牛

捕獲時(shí)間

2008-10-03

病毒摘要

該樣本是使用“Delphi”編寫的“木馬下載器”，由微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲，采用“Upack”加殼方式試圖躲避特征碼掃描,加殼后長度為“32,176字節(jié)”，圖標(biāo)為使用“exe”擴(kuò)展名，通過“網(wǎng)頁木馬”、“文件捆綁”等方式植入用戶計(jì)算機(jī)，運(yùn)行后下載多數(shù)盜號木馬到本地執(zhí)行。

感染對象

Windows 2000/Windows XP/Windows 2003

傳播途徑

網(wǎng)頁木馬、文件捆綁

防范措施

已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶，無須任何設(shè)置，微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級到最新版本，微點(diǎn)主動(dòng)防御都能夠有效清除該病毒。如果您沒有將微點(diǎn)主動(dòng)防御軟件升級到最新版，微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“未知木馬”，請直接選擇刪除處理（如圖1）；

圖1 主動(dòng)防御自動(dòng)捕獲未知病毒（未升級）

如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級到最新版本，微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)"Trojan.Win32.KillAV.acs”，請直接選擇刪除（如圖2）。

       

圖2   升級后截獲已知病毒
　
   

對于未使用微點(diǎn)主動(dòng)防御軟件的用戶，微點(diǎn)反病毒專家建議：
1、不要在不明站點(diǎn)下載非官方版本的軟件進(jìn)行安裝，避免病毒通過捆綁的方式進(jìn)入您的系統(tǒng)。
2、盡快將您的殺毒軟件特征庫升級到最新版本進(jìn)行查殺，并開啟防火墻攔截網(wǎng)絡(luò)異常訪問，如依然有異常情況請注意及時(shí)與專業(yè)的安全軟件廠商聯(lián)系獲取技術(shù)支持。
3、開啟windows自動(dòng)更新，及時(shí)打好漏洞補(bǔ)丁。

病毒分析

該樣本被執(zhí)行后，取隨機(jī)文件名拷貝自身到目錄%SystemRoot%\system32目錄下作為病毒主體文件，并創(chuàng)建該進(jìn)程；取隨機(jī)文件名在目錄%SystemRoot%\system32\drivers\下釋放驅(qū)動(dòng)文件如“bopxyz.sys”；病毒主程序運(yùn)行后，遍歷系統(tǒng)當(dāng)前進(jìn)程查找“avp.exe”，如果存在則設(shè)置系統(tǒng)時(shí)間為1900年試圖使卡巴斯基監(jiān)控暫時(shí)失效，1000ms后恢復(fù)系統(tǒng)時(shí)間至正常；將所釋放驅(qū)動(dòng)文件注冊為同名服務(wù)并啟動(dòng)該服務(wù)，恢復(fù)SSDT使部分安全軟件的監(jiān)控失效，后使用批處理執(zhí)行自刪除。

遍歷當(dāng)前系統(tǒng)查找以下進(jìn)程，修改注冊表“Image File Execution Options”項(xiàng)將其重定向到"ntsd -d"；查找進(jìn)程conime.exe，ctfmon.exe，GuardField.exe，spoolsv.exe與wuauclt.exe等進(jìn)程，如果存在則強(qiáng)制結(jié)束。

調(diào)用函數(shù)“URLDownloadToFileA”從惡意網(wǎng)站“http://www.w***88.cn/”讀取病毒列表“ac.txt”，根據(jù)此列表下載多數(shù)木馬到本地運(yùn)行。