捕獲時間
2009-5-19
病毒癥狀
該樣本是使用“VC”編寫的木馬下載器���,由微點主動防御軟件自動捕獲�����,采用“UPX”加殼方式���,企圖躲避特征碼掃描�,加殼后長度為“28,160 字節”����,圖標為“
”,病毒擴展名為“exe”�,主要通過“文件捆綁”��、“下載器下載”、“網頁掛馬”等方式傳播�����,病毒主要目的為下載大量木馬病毒�����,并運行�����。
用戶中毒后�,會出現用戶中毒后���,會出現計算機及網絡運行緩慢�����,安全軟件無故關閉,各類軟件���、Windows無故報錯,發現大量未知進程等現象����。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬���、文件捆綁����、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶�����,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本�,微點主動防御都能夠有效清除該病毒�。如果您沒有將微點主動防御軟件升級到最新版����,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本��,微點將報警提示您發現" Trojan-Downloader.Win32.Agent.bcgo”����,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶����,微點反病毒專家建議:
1��、使用相同版本文件替換
%SystemRoot%\system32\userinit.exe,并修復%SystemRoot%\system32\drivers\etc\hosts
2、手動刪除以下文件:
%Temp%\~b41314.tmp
%Temp%\~b3bb9f.tmp
3���、手動刪除以下注冊表值:
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\zx
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccddc
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\currentVersion\image file Execution options\egui.exe
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄�����,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾����,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
(1)創建互斥,防止第二次運行
(2)禁止wscsvc服務,遍歷進程����,發現以下進程�,結束進程
rstray.exe
rsnetsvr.exe
ccenter.exe
scanfrm.exe
ravmond.exe
ravtask.exe
rsmain.exe
rfwsrv.exe
ras.exe
kavstart.exe
kissvc.exe
kamilmon.exe
kpfw32.exe
kpfwsvc.exe
kwatch.exe
kaccore.exe
(3)再次遍歷進程����,發現360tray.exe�,safeboxtray.exe和avp.exe進程,釋放動態庫文件~3bbf2d.t�����,加載動態庫文件,釋放驅動文件~dbc01f.t���,創建服務啟動驅動,利用驅動結束進程����,刪除驅動和動態庫文件
(4)嘗試打開ekrn服務�����,如果成功,禁止ekrn服務,結束ekrn.exe和egui.exe進程
(5)釋放~b41314.tmp和~b3bb9f.tmp文件
(6)運行~b41314.tmp,比較自身是不是userinit.exe文件�����,如果是��,創建explorer.exe進程��,
(7)創建線程,遍歷進程,發現qq.exe進程,打開指定統計網址���,發現cmd.exe進程,關閉cmd.exe進程
(8)下載下載列表����,遍歷進程�����,沒有avp.exe進程�。運行下載的病毒文件,下載指定文件覆蓋hosts文件���,訪問病毒統計網址
(9)創建服務,啟動驅動~b3bb9f.tmp����,修改userinit.exe����,設置重啟刪除驅動文件和自身
(10)創建映像劫持��,退出進程
病毒創建文件:
%Temp%\~3bbf2d.t
%Temp%\~dbc01f.t
%Temp%\~b41314.tmp
%Temp%\~b3bb9f.tmp
病毒修改文件:
%SystemRoot%\system32\userinit.exe
%SystemRoot%\system32\drivers\etc\hosts
病毒刪除文件:
%Temp%\~3bbf2d.t
%Temp%\~dbc01f.t
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\zx
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccddc HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\currentVersion\image file Execution options\egui.exe
病毒訪問網絡:
http://qq.she**ong168.com/go/getmac.asp
http://8i**.com/xia/ad.jpg
ht tp://tongji.shenl**g168.com/go/getmac.asp
http://8i**.com/xia/sl.txt
http://exe***.com/xiao/aaa1.exe
http://exe***.com/xiao/aa2.exe
http://exe***.com/xiao/aa3.exe
http://exe***.com/xiao/aa4.exe
http://exe***.com/xiao/aaa5.exe
http://exe***.com/xiao/aa6.exe
http://exe***.com/xiao/aa7.exe
http://exe***.com/xiao/aa8.exe
http://exe***.com/xiao/aa9.exe
http://exe***.com/xiao/aa10.exe
http://exe***.com/xiao/aa11.exe
http://exe***.com/xiao/aa12.exe
http://exe***.com/xiao/aa13.exe
http://exe***.com/xiao/aa14.exe
http://exe***.com/xiao/aa15.exe
http://exe***.com/xiao/aa16.exe
http://exe***.com/xiao/aa17.exe
http://exe***.com/xiao/aa18.exe
http://exe***.com/xiao/aa19.exe
http://exe***.com/xiao/aa20.exe
http://exe***.com/xiao/aa21.exe
http://exe***.com/xiao/aa22.exe
http://exe***.com/xiao/aa23.exe
http://exe***.com/xiao/aa24.exe
http://exe***.com/xiao/aa25.exe
http://exe***.com/xiao/aa26.exe
http://exe***.com/xiao/aa27.exe
http://exe***.com/xiao/aa28.exe
http://exe***.com/xiao/aa29.exe
http://exe***.com/xiao/aa30.exe
http://exe***.com/xiao/aa31.exe
http://exe***.com/xiao/111.exe
http://exe***.com/xiao/aa33.exe
http://exe***.com/xiao/aa34.exe
http://exe***.com/xiao/aa35.exe
