捕獲時間
2009-4-14
病毒癥狀
該樣本是使用“C ”編寫的下載者���,由微點主動防御軟件自動捕獲���,長度為“13,312 字節”��,圖標為“ ”�����,病毒擴展名為“exe”,主要通過“文件捆綁”、“網頁掛馬”等方式傳播���,病毒主要目的為下載大量惡意程序����。
用戶中毒后,會出現網絡變卡�,Windows軟件無故報錯等現象��。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬、文件捆綁����、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶����,無須任何設置���,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞��。無論您是否已經升級到最新版本�,微點主動防御都能夠有效清除該病毒����。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知間諜軟件”��,請直接選擇刪除處理(如圖1)�����;
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本���,微點將報警提示您發現"Trojan-Downloader.Win32.Small.abrc”�,請直接選擇刪除(如圖2)����。
圖2 微點主動防御軟件升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶���,微點反病毒專家建議:
1�、不要在不明站點下載非官方版本的軟件進行安裝����,避免病毒通過捆綁的方式進入您的系統�。
2、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺���,并開啟防火墻攔截網絡異常訪問,如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持���。
3、開啟windows自動更新����,及時打好漏洞補丁����。
未安裝微點主動防御軟件的手動解決辦法:
1�����、手動刪除以下文件:
%temp%/tmp.tmp
2����、手動刪除以下注冊表值:
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值:updater
數據:%SystemRoot%\system32\updater.exe
變量聲明:
%SystemDriver% 系統所在分區�,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄�,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾����,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄�����,通常為:“C:\ProgramFiles”
病毒分析
(1)判斷自身是不是C:\WINDOWS\system32\userinit.exe,如果是,運行explorer.exe進程
(2)修改注冊表�����,在%temp%目錄釋放動態庫文件
(3)創建svchost.exe進程����,并把動態庫插入進程,下載病毒并運行
(4)打開baidu.com 測試是否聯網,如果聯網則打開指定連接統計感染信息
病毒創建文件:
%temp%/tmp.tmp
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\updater
病毒創建進程:
svchost.exe
病毒訪問網絡:
http://www.12**x-223.cn/Count/count.asp?mac=00c02977d45d&xxx=a01
http://googless**ication.cn:6555/js.txt
http://www.googless***cation.cn:6135/1/aa01.exe
http://www.googless***cation.cn:6135/1/aa02.exe
http://www.googless***cation.cn:6135/1/aa03.exe
http://www.googless***cation.cn:6135/1/aa04.exe
http://www.googless***cation.cn:6135/1/aa05.exe
http://www.googless***cation.cn:6135/1/aa06.exe
http://www.googless***cation.cn:6135/1/aa07.exe
http://www.googless***cation.cn:6135/1/aa08.exe
http://www.googless***cation.cn:6135/1/aa09.exe
http://www.googless***cation.cn:6135/1/aa10.exe
http://www.googless***cation.cn:6135/1/aa11.exe
http://www.googless***cation.cn:6135/1/aa12.exe
http://www.googless***cation.cn:6135/1/aa13.exe
http://www.googless***cation.cn:6135/1/aa14.exe
http://www.googless***cation.cn:6135/1/aa15.exe
http://www.googless***cation.cn:6135/1/aa16.exe
http://www.googless***cation.cn:6135/1/aa17.exe
http://www.googless***cation.cn:6135/1/aa18.exe
http://www.googless***cation.cn:6135/1/aa19.exe
http://www.googless***cation.cn:6135/1/aa20.exe
http://www.googless***cation.cn:6135/1/aa21.exe
http://www.googless***cation.cn:6135/1/aa22.exe
http://www.googless***cation.cn:6135/1/aa23.exe
http://www.googless***cation.cn:6135/1/aa24.exe
http://www.googless***cation.cn:6135/1/aa25.exe
http://www.googless***cation.cn:6135/1/aa26.exe
http://www.googless***cation.cn:6135/1/aa27.exe
http://www.googless***cation.cn:6135/1/aa28.exe
http://www.googless***cation.cn:6135/1/aa30.exe |
