捕獲時間
2009-1-1
病毒摘要
該樣本是使用“VC”編寫的木馬程序,由微點主動防御軟件自動捕獲,采用“Upack”加殼方式,企圖躲過特征碼掃描,長度為“39,252 字節”,圖標為“
”,病毒擴展名為“exe”,主要通過“網頁掛馬”、“文件捆綁”、“誘騙用戶點擊”等方式傳播,病毒主要目的通過多種手段賺取廣告流量。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬、文件捆綁、誘騙用戶點擊
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知間諜軟件”,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Trojan.Win32.Agent.abxz”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶,微點反病毒專家建議:
1、不要在不明站點下載非官方版本的軟件進行安裝,避免病毒通過捆綁的方式進入您的系統。
2、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺,并開啟防火墻攔截網絡異常訪問,如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持。
3、開啟windows自動更新,及時打好漏洞補丁。
病毒分析
該樣本程序被執行后,將遍歷進程,查找是否存在“AVP.exe”,若存在則釋放批處理文件“GoKaba.bat”至“%SystemRoot%\system32”文件夾,修改系統時間至“1987年10月18日”,批處理內容如下:
| |
@echo off
set date=趖e%
date 1987-10-18
ping -n 45 localhost > nul
date 趖e%
del %0 |
|
樣本將利用批處理“ping -n 45 localhost > nul” 達到延時目的,延時完成后系統時間將被調回正常。期間將復制自身至“%SystemRoot%\system32”文件夾,重命名為“A135DED4.EXE”,復制自身至“%SystemRoot%\system32”文件夾,重命名為“A135DED4T.EXE”,修改注冊表,將“A135DED4.EXE”設置為服務,相關注冊表項如下:
| |
鍵:“[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\A135DED4]”
值:“Type”
數據:“SERVICE_WIN32_OWN_PROCESS”
值:“Start”
數據:“SERVICE_AUTO_START”
值:“ImagePath”
數據:“C:\WINDOWS\system32\A135DED4.EXE –service”
值:“DisplayName”
數據:“A135DED4” |
|
完成后樣本將以參數“–service”啟動“A135DED4.EXE”,刪除“GoKaba.bat”,并生成批處理“delme.bet”實現自刪除,相關批處理如下:
| |
@echo off
:selfkill
del /F /Q "C:\Sample.EXE"
exist "C:\Sample.EXE" goto selfkill
del %0 |
|
“A135DED4.EXE”啟動后將生成動態庫文件“A135DED4.DLL”至文件夾“%SystemRoot%\system32”,申請空間將動態庫文件“A135DED4.DLL”注入至“winlogon.exe”并啟動一線程。
“winlogon.exe” 將申請空間將動態庫文件“A135DED4.DLL”注入至“explorer.exe”并啟動一線程。訪問網址:“http://www.zh****u8.com/chajian/update.txt”下載升級程序。
病毒將鎖定IE主頁,彈出各類廣告窗口,劫持百度搜索引擎,實用戶點擊搜索結果時跳轉至黑客指定的廣告頁面,并以隱藏方式安裝“Alexa工具條”,遍歷QQ、淘寶旺旺、MSN等聊天軟件窗口,利用模擬點擊方式發送廣告信息,使用戶主機不斷出現廣告,運行緩慢。
