木馬下載者
Trojan-Downloader.Win32.Agent.cft
捕獲時間
2009-12-7
危害等級
中
病毒癥狀
該樣本是使用“Microsoft visual C /C”編寫的“木馬下載者,由微點主動防御軟件自動捕獲,采用“UPX”加殼方式試圖躲避特征碼掃描,加殼后長度為28,672字節(jié),圖標(biāo)為“
”, 使用“ exe”擴展名,通過網(wǎng)頁木馬、下載器下載、移動介質(zhì)(如U盤)等方式進行傳播。
用戶中毒后,會出現(xiàn)計算機及網(wǎng)絡(luò)運行緩慢,殺毒軟件無故退出且無法啟動,出現(xiàn)大量未知進程等現(xiàn)象。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista
傳播途徑
網(wǎng)頁掛馬、文件捆綁、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設(shè)置,微點主動防御將自動保護您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發(fā)現(xiàn)該病毒后將報警提示您發(fā)現(xiàn)“未知木馬”,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經(jīng)將微點主動防御軟件升級到最新版本,微點將報警提示您發(fā)現(xiàn)"Trojan-Downloader.Win32.Agent.cft”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1、手動刪除以下文件:
%Temp%\~21c9bd.tmp
2、手動刪除以下注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui
3、手動恢復(fù)以下文件:
%SystemRoot%\System32\userinit.exe
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū),通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
1、病毒運行后創(chuàng)建名稱為"abcz"的互斥量。
2、嘗試打開"wscsvc"服務(wù),如果成功就停止該服務(wù)。
3、查找類名稱為"ConsoleWindowClass"的窗口,如果找到就發(fā)送消息,使其關(guān)閉。
4、遍歷進程查找rstray.exe、rsnetsvr.exe ccenter.exe scanfrm.exe ravmond.exe ravtask.exe rsmain.exe rfwsrv.exe ras.exe kavstart.exe kissvc.exe kamilnon.exe kpfw32.exe kpfwsvc.exe kwatch.exe kaccore.exe等殺毒軟件進程,如果找到就通過釋放其內(nèi)存,使殺毒軟件退出。
5、創(chuàng)建線程,在此線程中釋放動態(tài)庫文件"%Temp%\~15566a.t",查找進程360tray.exe、safeboxtray.exe、avp.exe,如果找到就調(diào)用rundll32.exe以"AboutDlgProc 18"為參數(shù)加載~15566a.t,最后刪除~15566a.t,退出當(dāng)前線程。
6、在~15566a.t中,釋放驅(qū)動文件"%Temp%\~57225a.t",創(chuàng)建名稱為"ccddc"的服務(wù),查找并結(jié)束360tray.exe、safeboxtray.exe進程,最后刪除驅(qū)動文件。
7、嘗試打開ekrn服務(wù),如果成功就停止該服務(wù),執(zhí)行teskkill結(jié)束進程ekrn.exe和egui.exe。
8、釋放文件"%Temp%\~20cca1.tmp"和"~21c9bd.tmp"。
9、執(zhí)行~21c9bd.tmp,在~21c9bd.tmp中,檢查自己是否為userinit.exe,如果不是就創(chuàng)建線程,查找QQ.exe和cmd.exe進程,如果找到QQ進程,就連接網(wǎng)絡(luò),發(fā)送感染機器信息到指定地址;如果找cmd.exe進程,就結(jié)束該進程,退出該線程;連接網(wǎng)絡(luò),下載病毒列表,根據(jù)列表下載病毒,修改hosts文件。
10、嘗試打開名稱為"zx"的服務(wù),如果失敗就創(chuàng)建該服務(wù),服務(wù)執(zhí)行程序為~20cca1.tmp,修改%SystemRoot%\System32\userinit.exe,最后刪除驅(qū)動文件~20cca1.tmp。
11、創(chuàng)建egui.exe映像劫持。
病毒創(chuàng)建文件:
%Temp%\~15566a.t
%Temp%\~57225a.t
%Temp%\~20cca1.tmp
%Temp%\~21c9bd.tmp
病毒替換文件:
%SystemRoot%\System32\userinit.exe
%SystemRoot%\System32\drivers\etc\hosts
病毒刪除文件:
%Temp%\~15566a.t
%Temp%\~57225a.t
%Temp%\~20cca1.tmp
病毒創(chuàng)建注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui
病毒訪問網(wǎng)絡(luò):
http://txt.***.com:88/ook.txt
http://txt.***.com:88/ad.jpg
http://d.***.com:88/gr.exe
