beplay体育app下载/欧国联含金量高吗/辽宁篮球直播/福彩快乐8走势图一定牛

   
首 頁  |  微點新聞  |  業界動態  |  安全資訊  |  安全快報  |  產品信息  |  網絡版首頁
通行證  |  客服中心  |  微點社區  |  微點郵局  |  常見問題  |  在線訂購  |  各地代理商
 

木馬下載器Trojan-Downloader.Win32.Agent.bbxk
來源:  2009-05-16 16:24:02

捕獲時間

2009-5-16

病毒癥狀

該樣本是使用“VC”編寫的木馬下載器,由微點主動防御軟件自動捕獲,采用“UPX”加殼方式,企圖躲避特征碼掃描,加殼后長度為“28,672 字節”,圖標為“
”,病毒擴展名為“exe”,主要通過“文件捆綁”、“下載器下載”、“網頁掛馬”等方式傳播,病毒主要目的為下載大量木馬病毒并運行。  

用戶中毒后,出現大量未知進程,系統和網絡運行緩慢,安全軟件無故關閉,Windwos軟件無故報錯等現象。


感染對象

Windows 2000/Windows XP/Windows 2003

傳播途徑

網頁木馬、文件捆綁、下載器下載

防范措施

已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“RootKit程序”,請直接選擇刪除處理(如圖1);



          圖1 微點主動防御軟件自動捕獲未知病毒(未升級)

如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現" Trojan-Downloader.Win32.Agent.bbxk”,請直接選擇刪除(如圖2)。




          圖2   微點主動防御軟件升級后截獲已知病毒

對于未使用微點主動防御軟件的用戶,微點反病毒專家建議

1、使用相同版本文件替換%SystemRoot%\system32\userinit.exe,并修復%SystemRoot%\system32\drivers\etc\hosts文件

2、手動刪除以下文件:
  
%Temp%\~10a00b1.t  
%Temp%\~10439b2.tmp

3、手動刪除以下注冊表值:
  
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\currentVersion\image file Execution options\kavstart.exe
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\currentVersion\image file Execution options\kpfw32.exe
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\currentVersion\image file Execution options\avp.exe
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZX
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccddc 

變量聲明:  

%SystemDriver%       系統所在分區,通常為“C:\”  
%SystemRoot%        WINDODWS所在目錄,通常為“C:\Windows”  
%Documents and Settings%  用戶文檔目錄,通常為“C:\Documents and Settings”  
%Temp%           臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”  
%ProgramFiles%       系統程序默認安裝目錄,通常為:“C:\ProgramFiles”


病毒分析

(1)創建互斥防止第二次運行
(2)通過查找如下托盤圖標,關閉部分安全軟件,并創建映像劫持
        360保險箱
        360安全衛士
        金山毒霸
        金山網
        asper
        卡巴斯基
(3)發現卡巴托盤圖標,會釋放動態庫,然后加載,再釋放驅動文件,創建服務啟動驅動,利用驅動關閉卡巴,刪除驅動文件
(4)遍歷進程,如果發現ekrn.exe進程,停止ekrn服務,結束egui.exe和ekrn.exe進程
(5)釋放驅動文件~ffbab3.tmp和病毒文件~10439b2.tmp
(6)病毒創建服務啟動驅動,修改userinit.exe,刪除驅動文件,然后運行文件~10439b2.tmp
(7)~10439b2.tmp首先比較自身是不是userinit.exe,如果是,運行explorer.exe進程
(8)遍歷進程,查找qq.exe和cmd.exe,發現qq.exe進程,訪問指定網站,發現cmd.exe進程,結束cmd.exe進程
(9)下載病毒列表,遍歷進程,如果沒有avp.exe進程,運行病毒
(10)下載指定文件,覆蓋hosts文件,訪問病毒統計地址,下載最新病毒主程序,進行更新。  
          
病毒創建文件:
          
%Temp%\~10a00b1.t
%Temp%\~458dea.s  
%Temp%\~ffbab3.tmp  
%Temp%\~10439b2.tmp
          
病毒修改文件:    

%SystemRoot%\system32\userinit.exe  
%SystemRoot%\system32\drivers\etc\hosts

病毒刪除文件:    

%Temp%\~458dea.s  
%Temp%\~ffbab3.tmp
          
病毒創建注冊表: 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\currentVersion\image file Execution options\kavstart.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\currentVersion\image file Execution options\kpfw32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\currentVersion\image file Execution options\avp.exe 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZX
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccddc  

病毒訪問網絡:    

http://tong**1.ac5566.cn/gogogo/getmac.asp
http://txt.**hyt.com:88/ad.jpg
http://txt.**hyt.com:88/ook.txt
http://ton**i.ombb888.cn/gogogo/getmac.asp
http://d.op**n.com:88/gr.exe

 
免費體驗
下  載
安裝演示