捕獲時間
2008-12-10
病毒摘要
該樣本是使用“Delphi”編寫的木馬下載器程序,由微點主動防御軟件自動捕獲,采用“Upack”加殼方式試圖躲避特征碼掃描,加殼后長度為“38,968字節”,圖標為“ ”,使用“exe”擴展名,通過“網頁木馬”、“文件捆綁”途徑植入用戶計算機,運行后聯網下載其他木馬到本地運行。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬、文件捆綁
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1);
圖1 主動防御自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Trojan-Downloader.Win32.KillAV.e”,請直接選擇刪除(如圖2)。
圖2 升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶,微點反病毒專家建議:
1、不要在不明站點下載非官方版本的軟件進行安裝,避免病毒通過捆綁的方式進入您的系統。
2、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺,并開啟防火墻攔截網絡異常訪問,如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持。
3、開啟windows自動更新,及時打好漏洞補丁。
病毒分析
該樣本程序被執行后,拷貝自身到系統目錄%SystemRoot%\system\下,名稱為“llwzjy081130.exe”,并釋放“mvjaj32dla.dll”文件。
遍歷枚舉下列進程名,一旦發現嘗試使用“ntsd -c q –p pid”命令關閉進程:
| |
RUNIEP.exe
KRegEx.exe
KVXP.kxp
360tray.exe
RSTray.exe
QQDoctor.exe
DrRtp.exe |
|
添加如下相關注冊表項實現自身隨機啟動:
| |
項:HKLM\ Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run
鍵:dlnajjbdfa
指向數據:%SystemRoot%\system\llwzjy081130.exe |
|
修改下列的注冊表鍵值實現去除顯示隱藏文件,企圖隱藏木馬:
| |
項:HKLM\ Software \Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder
\Hidden\SHOWALL
鍵:CheckedValue
指向數據:0 |
|
在注冊表HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\下添加下列子項,達到劫持指定安全軟件的目的:
| |
子項名:
360rpt.exe
DrRtp.exe
QQDoctor.exe
鍵值均為:debugger
數據均指向:%SystemRoot%\system32\svchost.exe |
|
創建含木馬信息的配置文件到%ALLUSERSPROFILE%\目錄下,名稱為“jjjydf16.ini”,內容如下:
| |
[mydown]
old_exe=
old_dll32=
ver=081130
fnexe=C:\WINDOWS\system\llwzjy081130.exe
reg_start=dlnajjbdfa
fn_dll=C:\WINDOWS\system\mvjaj32dla.dll
[kill]
window=33343939393132313738313233303835232429
[run]
delay=90
pzjg=180
xxjg=10 |
|
隱藏方式調用“IEXPLORE.EXE”進程,并向其進程空間注入“mvjaj32dla.dll”文件,等待聯網狀態訪問下列木馬列表網址下載木馬,下載后自動調用運行:
| |
| http://www.380vip.cn/**/mydown.asp?ver=081130&tgid=032&address=00-**-29-**-DA-87 |
|
網址內容如下:
| |
begin
1,081120,10241,,90,0,180,1,10,17,1,0,1,1
7,
2,1,77312,http://www.180vip.cn/**/706.exe,0,0-24,,
2,1,32768,http://www.180vip.cn/**/12.exe,0,0-24,,
2,1,90151,http://www.180vip.cn/**/45.exe,0,0-24,,
2,1,70308,http://www.180vip.cn/**/11.exe,0,0-24,,
2,1,37888,http://www.180vip.cn/**/37.exe,0,0-24,,
2,1,56320,http://www.180vip.cn/**/1180.exe,0,0-24,,
2,1,17441,http://www.180vip.cn/**/ys.exe,0,0-24,,
2,1,17973,http://www.180vip.cn/**/mh.exe,0,0-24,,
2,1,16325,http://www.180vip.cn/**/wd.exe,0,0-24,,
2,1,18597,http://www.180vip.cn/**/ms.exe,0,0-24,,
2,1,73188,http://www.180vip.cn/**/9517.exe,0,0-24,,
2,1,86088,http://www.180vip.cn/**/cj.exe,0,0-24,,
9,http://,1,1,1,2,2
end |
|
隱藏方式調用下列命令實現自身刪除:
| |
| cmd /c del "c:\sample.exe" |
|
|
