beplay体育app下载/欧国联含金量高吗/辽宁篮球直播/福彩快乐8走势图一定牛

捕獲時間

2009-6-17

病毒癥狀

該樣本是使用“vc”編寫的木馬下載器，由微點(diǎn)主動防御軟件自動捕獲，采用“UPX”加殼方式，企圖躲避特征碼掃描，加殼后長度為“29,184 字節(jié)”，圖標(biāo)為“
”，病毒擴(kuò)展名為“exe”，主要通過“文件捆綁”、“下載器下載”、“網(wǎng)頁掛馬”等方式傳播，病毒主要目的為下載大量病毒并運(yùn)行。　　

用戶中毒后，會出現(xiàn)安全軟件無故關(guān)閉，網(wǎng)絡(luò)運(yùn)行緩慢，出現(xiàn)大量未知進(jìn)程，windows系統(tǒng)無故報錯等現(xiàn)象。

感染對象

Windows 2000/Windows XP/Windows 2003

傳播途徑

網(wǎng)頁木馬、文件捆綁、下載器下載

防范措施

已安裝使用微點(diǎn)主動防御軟件的用戶，無須任何設(shè)置，微點(diǎn)主動防御將自動保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級到最新版本，微點(diǎn)主動防御都能夠有效清除該病毒。如果您沒有將微點(diǎn)主動防御軟件升級到最新版，微點(diǎn)主動防御軟件在發(fā)現(xiàn)該病毒后將報警提示您發(fā)現(xiàn)“未知木馬”，請直接選擇刪除處理（如圖1）；



          圖1 微點(diǎn)主動防御軟件自動捕獲未知病毒（未升級）

如果您已經(jīng)將微點(diǎn)主動防御軟件升級到最新版本，微點(diǎn)將報警提示您發(fā)現(xiàn)" Trojan-Downloader.Win32.Agent.bfag”，請直接選擇刪除（如圖2）。



          圖2   微點(diǎn)主動防御軟件升級后截獲已知病毒

對于未使用微點(diǎn)主動防御軟件的用戶，微點(diǎn)反病毒專家建議：

1、使用相同版本文件替換

%SystemRoot%\system32\userinit.exe，并修復(fù)%SystemRoot%\system32\drivers\etc\hosts文件　　

2、手動刪除以下注冊表值：

鍵：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZX
鍵：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
值：[映像劫持]
數(shù)據(jù)：services.exe　　

變量聲明：　　

%SystemDriver%　　　　　　　系統(tǒng)所在分區(qū)，通常為“C:\”　　
%SystemRoot%　　　　　　　　WINDODWS所在目錄，通常為“C:\Windows”　　
%Documents and Settings%　　用戶文檔目錄，通常為“C:\Documents and Settings”　　
%Temp%　　　　　　　　　　　臨時文件夾，通常為“C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp”　　
%ProgramFiles%　　　　　　　系統(tǒng)程序默認(rèn)安裝目錄，通常為：“C:\ProgramFiles”

病毒分析

（1）創(chuàng)建互斥，防止第二次運(yùn)行，嘗試打開"wscsvc"服務(wù)，如果成功，停止wscsvc服務(wù)

（2）遍歷進(jìn)程，發(fā)現(xiàn)并關(guān)閉如下進(jìn)程，然后寫映像劫持

        rstray.exe
        rsnetsvr.exe
        ccenter.exe
        scanfrm.exe
        ravmond.exe
        ravtask.exe
        rsmain.exe
        rfwsrv.exe
        ras.exe
        kavstart.exe
        kissvc.exe
        kamilmon.exe
        kpfw32.exe
        kpfwsvc.exe
        kwatch.exe
        kaccore.exe

（3）釋放動態(tài)庫文件~479ad2.t，遍歷進(jìn)程，如果發(fā)現(xiàn)以下進(jìn)程，加載動態(tài)庫，動態(tài)庫會釋放驅(qū)動文件~352a3b.t，創(chuàng)建服務(wù)，啟動驅(qū)動，結(jié)束如下進(jìn)程，刪除驅(qū)動文件、服務(wù)、動態(tài)庫文件

        360tray.exe
        safeboxtray.exe
        avp.exe

（4）嘗試打開服務(wù)ekrn,如果成功，停止服務(wù)，結(jié)束ekrn.exe和egui.exe進(jìn)程
（5）釋放驅(qū)動文件~4d368f.tmp和病毒文件~4caf40.tmp，運(yùn)行~4caf40.tmp
（6）病毒文件~4caf40.tmp，查看自身是否是userinit.exe，如果是，運(yùn)行explorer.exe進(jìn)程，如果發(fā)現(xiàn)qq.exe 進(jìn)程，訪問指定統(tǒng)計網(wǎng)址，發(fā)現(xiàn)cmd.exe進(jìn)程，結(jié)束cmd.exe進(jìn)程，下載病毒列表，遍歷進(jìn)程，如果沒有avp.exe進(jìn)程，運(yùn)行下載的病毒。下載指定文件，覆蓋hosts文件，訪問病毒統(tǒng)計地址，最后下載更新病毒
（7）創(chuàng)建zx服務(wù)，啟動驅(qū)動~4d368f.tmp，修改%SystemRoot%\System32\userinit.exe，刪除驅(qū)動文件
（8）設(shè)置下次計算機(jī)啟動刪除~4d368f.tmp和病毒主程序　　　　　　

病毒創(chuàng)建文件：　　　　

%Temp%\~479ad2.t
%Temp%\~352a3b.t　　
%Temp%\~4d368f.tmp
%Temp%\~4caf40.tmp

病毒修改文件：　　　　

%SystemRoot%\System32\userinit.exe　　
%SystemRoot%\system32\drivers\etc\hosts
　　
病毒刪除文件：　　　　

%Temp%\~479ad2.t
%Temp%\~352a3b.t　　
%Temp%\~4d368f.tmp
%Temp%\~4caf40.tmp
        　　　　
病毒創(chuàng)建注冊表：
　　　　
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZX
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccddc　

病毒刪除注冊表：　

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccddc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[映像劫持]　　　　

病毒訪問網(wǎng)絡(luò)：　　　　

http://tts.***tt.cn:889/qqlist/getmac.asp
http://txt.***vv.cn:889/txt1/ok.txt
http://up.***vv.cn:889/jpg1/ad.jpg
http://tts.***tt.cn:889/mclist/getmac.asp
http://up.***vv.cn:889/up1/up.exe
http://mm.***vv.cn:8888/mm/lm/new1.exe
http://mm.***vv.cn:8888/mm/lm/new2.exe
http://mm.***vv.cn:8888/mm/lm/new4.exe
http://mm.***vv.cn:8888/mm/lm/new5.exe
http://mm.***vv.cn:8888/mm/lm/new6.exe
http://mm.***vv.cn:8888/mm/lm/new7.exe
http://mm.***vv.cn:8888/mm/lm/new8.exe
http://mm.***vv.cn:8888/mm/lm/new10.exe
http://mm.***vv.cn:8888/mm/lm/new11.exe
http://mm.***vv.cn:8888/mm/lm/new12.exe
http://mm.***vv.cn:8888/mm/lm/new14.exe
http://mm.***vv.cn:8888/mm/lm/new16.exe
http://mm.***vv.cn:8888/mm/lm/new17.exe
http://mm.***vv.cn:8888/mm/lm/new20.exe
http://mm.***vv.cn:8888/mm/jx/new2.exe
http://mm.***vv.cn:8888/mm/jx/new3.exe
http://mm.***vv.cn:8888/mm/jx/new4.exe
http://mm.***vv.cn:8888/mm/jx/new5.exe
http://mm.***vv.cn:8888/mm/jx/new7.exe
http://mm.***vv.cn:8888/mm/jx/new10.exe
http://mm.***vv.cn:8888/mm/la/new3.exe
http://mm.***vv.cn:8888/mm/la/new4.exe
http://mm.***vv.cn:8888/mm/la/new5.exe
http://mm.***vv.cn:8888/mm/la/new6.exe
http://mm.***vv.cn:8888/mm/jm/new1.exe
http://mm.***vv.cn:8888/mm/qt/new5.exe
http://mm.***vv.cn:8888/mm/qt/new6.exe
http://mm.***vv.cn:8888/mm/qt/new7.exe
http://mm.***vv.cn:8888/mm/qt/new8.exe
http://mm.***vv.cn:8888/mm/qt/new1.exe
http://mm.***vv.cn:8888/mm/qt/new3.exe