木馬下載者
Trojan-Downloader.Win32.Geral.abr
捕獲時間
2010-2-27
危害等級
中
病毒癥狀
該樣本是使用“C語言”編寫的木馬下載者,由微點主動防御軟件自動捕獲,長度為28,672字節,圖標為“
”, 采用 “ exe”擴展名,通過網頁木馬、下載器下載、等方式進行傳播。
用戶中毒后,會出現計算機及網絡運行緩慢,異常網絡訪問、出現大量未知進程等現象。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista
傳播途徑
網頁掛馬、文件捆綁、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬“,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Trojan-Downloader.Win32.Geral.abr”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1、手動刪除以下文件:
%Program Files%\msds.exe
%Temp%\nxn1C.tmp
%SystemRoot%\Fonts\best.ini
2、手動刪除以下注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[殺毒軟件]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aae
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
1.病毒運行后檢查%SystemRoot%\system32/at.exe是存在,不存在就退出當前進程。
2.否則,遍歷進程查找并結束360rp.exe和360sd.exe,并調刪除360rp服務。
3.釋放病毒文件%Program Files%\msds.exe并執行。
4.然后退出當前進程,并調用命令行自我刪除。
5.當msds執行后,動態獲取所需API地址,檢查"%SystemRoot%\system32\taskmgr.exe"是否存在,不存在就退出當前進程;
6.檢查當前目錄下是否存在AUTORUN.inf,如果不存在,設置系統重啟后自我刪除,否則就執行explorer.exe。
7.創建名稱為"DIAO"的互斥量,設置自己為"SeDebugPrivilege"權限。
8.遍歷進程查找ekrn.exe,如果找到就調用命令行刪除ekrn服務,結束ekrn.exe和egui.exe進程。
9.遍歷進程查找nod32.exe,如果找到就調用命令行刪除nod32服務,結束nod32krn.exe和nod32kui.exe進程。
10.釋放動態庫文件"%SystemDriver%\ne.dll",并設置為隱藏屬性。
11.遍歷進程查找RavMonD.exe,如果找到就結束RavMonD.exe和rstray.exe進程,刪除相關文件。
12.創建線程,枚舉并關閉殺毒軟件窗口。
13.調用rundll32.exe以safeby為參數加載"%SystemDriver%\ne.dll ",最后刪除此文件。
14.在ne.dll中,釋放驅動文件"%SystemRoot%\fonts\pci.sys",創建名稱為"aae"的服務,向名稱為"\\.\safeb"的設備發送控制碼,查找
15.并結束360tray.exe、360safe.exe、safebox.exe、krnl360svc.exe、zhudongfangyu.exe、rstray.exe、Mcshield.exe等進程,并遍歷磁盤刪除360和卡巴斯基的安裝目錄,恢復SSDT。
16.創建線程,釋放文件并加載動態庫文件"%Temp%\nxn1C.tmp"。
17.在nxn1C.tmp中,提升自身權限,創建線程,連接網絡,下載病毒列表到本地保存為"%SystemRoot%\Fonts\best.ini";創建大量安全軟件映像劫持;查找并關閉類名為"AfxControlBar42s"的窗口。
18.創建線程,遍歷進程,如果存在avp.exe,通過釋放avp.exe中的模塊使進程退出,然后停止avp服務,退出線程。
19.創建線程,檢查"%SystemRoot%\system32\dllcache\linkinfo.dll"是否存在,如果不存在,就拷貝"%SystemRoot%\system32\linkinfo.dll"為"%SystemRoot%\system32\dllcache\linkinfo.dll",將"%SystemRoot%\system32\linkinfo.dll"映射到內存,釋放驅動文件"%SystemRoot%\fonts\bren.sys",創建名稱為"bren"的服務,感染"%SystemRoot%\system32\linkinfo.dll"。
病毒創建文件:
%Program Files%\msds.exe
%SystemDriver%\ne.dll
%SystemRoot%\fonts\pci.sys
%Temp%\nxn1C.tmp
%SystemRoot%\Fonts\best.ini
病毒刪除文件:
%SystemDriver%\ne.dll
%SystemRoot%\fonts\pci.sys
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[殺毒軟件]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aae
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ bren.sys
病毒訪問網絡:
http://g.***.com/s.txt
