捕獲時間
2009-5-22
病毒癥狀
該樣本是使用“VC”編寫的木馬下載器����,由微點主動防御軟件自動捕獲���,采用“UPX”加殼方式�����,企圖躲避特征碼掃描,加殼后長度為“28,160 字節”,圖標為“
”����,病毒擴展名為“exe”�,主要通過“文件捆綁”�、“下載器下載”、“網頁掛傲慢”等方式傳播,病毒主要目的為下載大量木馬病毒并運行����!
用戶中毒后�����,出現大量未知進程,系統和網絡運行緩慢���,安全軟件無故關閉,Windwos軟件無故報錯等現象����。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬�、文件捆綁
防范措施
已安裝使用微點主動防御軟件的用戶���,無須任何設置�����,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞��。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版���,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本�,微點將報警提示您發現" Trojan-Downloader.Win32.Agent.bdgk”����,請直接選擇刪除(如圖2)���。
圖2 微點主動防御軟件升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶�,微點反病毒專家建議:
1、使用相同版本文件替換%SystemRoot%\system32\userinit.exe���,并修復%SystemRoot%\system32\drivers\etc\hosts文件
2、手動刪除以下文件:
%temp%\~4a9085.tmp
3�����、手動刪除以下注冊表值:
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZX
變量聲明:
%SystemDriver% 系統所在分區�,通常為“C:\”
%SystemRoot% WINDODWS所在目錄��,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄�,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾�,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
(1)嘗試打開wscsvc服務����,如果打開成功����,停止wscsvc服務
(2)遍歷進程��,結束如下進程
rstray.exe
rsnetsvr.exe
ccenter.exe
scanfrm.exe
ravmond.exe
ravtask.exe
rsmain.exe
rfwsrv.exe
ras.exe
kavstart.exe
kissvc.exe
kamilmon.exe
kpfw32.exe
kpfwsvc.exe
kwatch.exe
kaccore.exe
(3)釋放動態庫文件~2ef148.t��,遍歷進程發現360tray.exe,safeboxtray.exe�����,avp.exe進程�,加載動態庫
(4)動態庫釋放驅動文件~38ef37.t,創建服務啟動驅動�,結束360tray.exe����,safeboxtray.exe�,avp.exe進程,刪除服務����,驅動文件���,動態庫文件
(5)嘗試打開ekrn服務,如果成功,停止服務��,結束ekrn.exe和egui.exe進程
(6)釋放病毒文件~4a9085.tmp和驅動文件~47ec60.tmp
(7)運行~4a9085.tmp,首先比較自身是不是userinit.exe�,如果是,運行explorer.exe進程
(8)遍歷進程,查找qq.exe和cmd.exe,發現qq.exe進程,訪問指定網站���,發現cmd.exe進程,結束cmd.exe進程
(9)下載病毒列表����,遍歷進程����,如果沒有avp.exe進程,運行病毒�����,下載指定文件�,覆蓋hosts文件,訪問病毒統計地址����,下載最新病毒主程序���,進行更新
(10)創建服務啟動驅動文件~47ec60.tmp���,修改userinit.exe���,刪除驅動文件���,設置重啟刪除自身
病毒創建文件:
%Temp%\~2ef148.t
%Temp%\~38ef37.t
%Temp%\~47ec60.tmp
%temp%\~4a9085.tmp
病毒修改文件:
%SystemRoot%\system32\userinit.exe
%SystemRoot%\system32\drivers\etc\hosts
病毒刪除文件:
%Temp%\~2ef148.t
%Temp%\~38ef37.t
%Temp%\~47ec60.tmp
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZX
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccddc
病毒刪除注冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccddc
病毒訪問網絡:
http://tts.cj***.cn:889/mclist/getmac.asp
http://up.cj***.cn:889/up1/up.exe
http://ups.cj***.cn:889/txt1/ok.txt
http://mm.cj***.cn:8888/mm/lm/new1.exe
http://mm.cj***.cn:8888/mm/lm/new2.exe
http://mm.cj***.cn:8888/mm/lm/new4.exe
http://mm.cj***.cn:8888/mm/lm/new5.exe
http://mm.cj***.cn:8888/mm/lm/new8.exe
http://mm.cj***.cn:8888/mm/lm/new10.exe
http://mm.cj***.cn:8888/mm/lm/new11.exe
http://mm.cj***.cn:8888/mm/lm/new12.exe
http://mm.cj***.cn:8888/mm/lm/new14.exe
http://mm.cj***.cn:8888/mm/lm/new15.exe
http://mm.cj***.cn:8888/mm/lm/new16.exe
http://mm.cj***.cn:8888/mm/lm/new17.exe
http://mm.cj***.cn:8888/mm/lm/new18.exe
http://mm.cj***.cn:8888/mm/jx/new2.exe
http://mm.cj***.cn:8888/mm/jx/new7.exe
http://mm.cj***.cn:8888/mm/jx/new8.exe
http://mm.cj***.cn:8888/mm/jx/new10.exe
http://mm.cj***.cn:8888/mm/jx/new11.exe
http://mm.cj***.cn:8888/mm/jx/new12.exe
http://mm.cj***.cn:8888/mm/la/new3.exe
http://mm.cj***.cn:8888/mm/la/new4.exe
http://mm.cj***.cn:8888/mm/la/new5.exe
http://mm.cj***.cn:8888/mm/qt/new5.exe
http://mm.cj***.cn:8888/mm/qt/new6.exe
http://mm.cj***.cn:8888/mm/qt/new7.exe
http://mm.cj***.cn:8888/mm/gb/new1.exe
http://mm.cj***.cn:8888/mm/gb/new2.exe
http://mm.cj***.cn:8888/mm/gb/new3.exe
http://mm.cj***.cn:8888/mm/gb/new4.exe
http://mm.cj***.cn:8888/mm/gb/new5.exe
http://mm.cj***.cn:8888/mm/qt/new1.exe
http://mm.cj***.cn:8888/mm/qt/new3.exe
http://mm.cj***.cn:8888/mm/qt/new2.exe
