木馬下載者程序
Trojan-Downloader.Win32.Agent.bzw
捕獲時間
2010-2-5
危害等級
中
病毒癥狀
該樣本是使用“Visual C /C”編寫的“木馬下載者”����,由微點主動防御軟件自動捕獲��,采用“UPX”加殼方式試圖躲避特征碼掃描,加殼后長度為23,364字節��,圖標為“
”, 使用“ exe”擴展名��,通過網頁木馬��、下載器下載等方式進行傳播�。
用戶中毒后��,會出現機器運行緩慢�、網絡速度降低����、出現大量未知進程、安全軟件無故退出等現象��。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista
傳播途徑
網頁掛馬�、文件捆綁�����、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶����,無須任何設置�����,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞�����。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版�,微點主動防御軟件在發現該病毒后將報警提示您發現“RootKit程序”��,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Trojan-Downloader.Win32.Agent.bzw”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1���、手動刪除以下文件:
%temp%\~~14c2d7.tmp
2、手動刪除以下注冊表值:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\zx
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ccdc
3、用正常文件替換%SystemRoot%\system32\userinit.exe
變量聲明:
%SystemDriver% 系統所在分區�,通常為“C:\”
%SystemRoot% WINDODWS所在目錄�����,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾�����,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄�,通常為:“C:\ProgramFiles”
病毒分析
1.病毒運行后創建名稱為"zcxv"的互斥體。
2.嘗試打開"wscsvc"服務�����,如果成功�,就停止"wscsvc"服務��。
3.創建線程���,查找360保險箱窗口和通知區域的360保險箱���,找到就模擬鼠標點擊����,使其退出���。
4.創建線程�,釋放動態庫文件"%Temp%\~8c9c4.t",查找進程360tray.exe�����、safeboxtray.exe、avp.exe����,如果找到就調用rundll32.exe以"AboutDlgProc 18"為參數加載~8c9c4.t���,最后刪除~8c9c4.t���,退出當前線程��。
5.在~8c9c4.t中,釋放驅動文件"%Temp%\~57225a.t"�,創建名稱為"ccddc"的服務��,查找并結束360tray.exe���、safeboxtray.exe進程����,最后刪除驅動文件。
6.遍歷進程�����,發現ekrn.exe和egui.exe���,就調用teskkill結束進程���,停止ekrn服務�。
7.再次嘗試打開"wscsvc"服務,如果成功�����,停止"wscsvc"服務��。
8.釋放病毒文件%temp%\~13fb32.tmp和%temp%\~~14c2d7.tmp�����。
9.設置自己系統重啟后刪除,提升為"SeDebugPrivilege"權限��。
10.創建名稱為"zx"的服務��,服務程序為%temp%\~13fb32.tmp����,通過向"\\.\ao1"的設備發送控制碼22001C��,感染userinit.exe,刪除~13fb32.tmp。
11.執行~~14c2d7.tmp���,比較自己是否為"userinit.exe",如果是就執行explorer.exe;否則就創建線程���,遍歷進程查找QQ.exe和cmd.exe,如果發現QQ.exe就訪問網絡,提交信息;如果發現cmd.exe就結束其進程����;連接網絡���,下載病毒列表����,根據列表下載病毒�����,修改hosts文件��。
病毒創建文件:
%Temp%\~8c9c4.t
%Temp%\~57225a.t
%temp%\~13fb32.tmp
%temp%\~~14c2d7.tmp
病毒刪除文件:
%Temp%\~8c9c4.t
%Temp%\~57225a.t
%temp%\~13fb32.tmp
病毒修改文件:
%SystemRoot%system32\userinit.exe
%SystemRoot%\system32\drivers\etc\hosts
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\zx
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ccdc
病毒訪問網絡:
http://txt.***.com:88/ook.txt
