AV終結(jié)者變種
Trojan-Downloader.Win32.Agent.ghe
捕獲時間
2010-3-13
危害等級
高
病毒癥狀
該樣本是使用“Delphi”編寫的下載類病毒���,由微點(diǎn)主動防御軟件自動捕獲,采用“UPX”加殼方式,企圖躲避特征碼掃描����,加殼后長度為“33,406字節(jié)”��,圖標(biāo)為“
”,病毒擴(kuò)展名為“exe”���,主要通過“文件捆綁”、“下載器下載”、“網(wǎng)頁掛馬”��、“移動存儲介質(zhì)”等方式傳播��,病毒主要目的為下載安裝病毒木馬程序���。
用戶中毒后���,會出現(xiàn)安全軟件無故關(guān)閉���,網(wǎng)絡(luò)運(yùn)行緩慢�,無法進(jìn)入安全模式��,windows系統(tǒng)無故報錯等現(xiàn)象�,部分網(wǎng)頁無法打開等現(xiàn)象��。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista
傳播途徑
網(wǎng)頁掛馬�、文件捆綁�����、下載器下載
防范措施
已安裝使用微點(diǎn)主動防御軟件的用戶���,無須任何設(shè)置�����,微點(diǎn)主動防御將自動保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級到最新版本��,微點(diǎn)主動防御都能夠有效清除該病毒�����。如果您沒有將微點(diǎn)主動防御軟件升級到最新版,微點(diǎn)主動防御軟件在發(fā)現(xiàn)該病毒后將報警提示您發(fā)現(xiàn)“未知間諜軟件“�,請直接選擇刪除處理(如圖1)����;
圖1 微點(diǎn)主動防御軟件自動捕獲未知病毒(未升級)
如果您已經(jīng)將微點(diǎn)主動防御軟件升級到最新版本,微點(diǎn)將報警提示您發(fā)現(xiàn)木馬"Trojan-Downloader.Win32.Agent.ghe”���,請直接選擇刪除(如圖2)。
圖2 微點(diǎn)主動防御軟件升級后截獲已知病毒
未安裝微點(diǎn)主動防御軟件的手動解決辦法:
1,手動刪除以下文件
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\CE3DC9E9.dll
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\CE3DC9E9.dat
%SystemRoot%\Help\CE3DC9E9.chm
%SystemRoot%\CE3DC9E9.hlp
2, 手動恢復(fù)以下注冊表項(xiàng)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
3�,手動刪除以下注冊表項(xiàng)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DC9ECE3D-CE3D-C9E9-3DC9-E3D9EE3DC9E9}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{DC9ECE3D-CE3D-C9E9-3DC9-E3D9EE3DC9E9}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下生成的大量劫持項(xiàng)
4����,手動將以下注冊表項(xiàng)START項(xiàng)修改為正常值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū)���,通常為“C:\”
%SystemRoot% WINDODWS所在目錄���,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄�����,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾�,通常為“C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認(rèn)安裝目錄�����,通常為:“C:\ProgramFiles”
病毒分析
(1)檢查自身是否重復(fù)運(yùn)行�����,創(chuàng)建互斥體,獲取用戶本地磁盤C盤信息,并嘗試將病毒寫入系統(tǒng)還原文件夾�����,以躲過殺軟查殺��,查找文件%SystemRoot%\system32\clsid.exe如果存在試圖重命名并刪除文件,以保證病毒能成功加載運(yùn)行���。查找%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\CE3DC9E9.dll,如果存在則刪除��。
(2)解密自身數(shù)據(jù)�,釋放病毒文件%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\CE3DC9E9.dll,將自身拷貝到
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\CE3DC9E9.dat
以及%SystemRoot%\Help\CE3DC9E9.chm�,并將生成的文件都設(shè)置為系統(tǒng)隱藏只讀屬性�。加載運(yùn)行%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\CE3DC9E9.dll��。
(3)查找大量安全軟件進(jìn)程�����,如果存在則試圖關(guān)閉殺軟進(jìn)程 ,釋放Deleteme.bat更改時間��。Deleteme.bat運(yùn)行完后自我刪除��,并檢查同名進(jìn)程是否為病毒自身如果不是則關(guān)閉該進(jìn)程�,注入Explorer.exe和TIMPlatform.exe以繞過防火墻實(shí)現(xiàn)下載功能����。
(4)創(chuàng)建線程循環(huán)將自身啟動信息寫入注冊表,以保證注冊表信息不被刪除,修改以下服務(wù)的啟動類型來禁止Windows的自更新和系統(tǒng)自帶的防火墻�����,破壞安全模式注冊表信息�,使用戶無法進(jìn)入安全模式。在“Image File Execution Options”下新建大量注冊表項(xiàng)以劫持大量安全相關(guān)程序�����。監(jiān)視用戶啟動程序窗口��,如果存在特定與安全相關(guān)的關(guān)鍵字就關(guān)閉應(yīng)用程序,使用戶無法打開部分網(wǎng)頁及程序。刪除注冊表相關(guān)項(xiàng),使用戶無法查看系統(tǒng)隱藏文件。
(5)創(chuàng)建線程�,等待網(wǎng)絡(luò)連接���,如果網(wǎng)絡(luò)連接可用則從指定網(wǎng)址下載大量病毒���,木馬運(yùn)行���。
病毒創(chuàng)建文件:
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\CE3DC9E9.dll
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\CE3DC9E9.dat
%SystemRoot%\Help\CE3DC9E9.chm
%SystemRoot%\CE3DC9E9.hlp
病毒刪除文件:
%SystemRoot%\system32\verclsid.exe
病毒創(chuàng)建注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DC9ECE3D-CE3D-C9E9-3DC9-E3D9EE3DC9E9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DC9ECE3D-CE3D-C9E9-3DC9-E3D9EE3DC9E9}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DC9ECE3D-CE3D-C9E9-3DC9-E3D9EE3DC9E9}\InProcServer32\ThreadingModel
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{DC9ECE3D-CE3D-C9E9-3DC9-E3D9EE3DC9E9}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下生成大量劫持項(xiàng)
病毒修改注冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
病毒刪除注冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
病毒訪問網(wǎng)絡(luò):
htxp://www.1***5.com/xin3.exe
http://do.7***6.com/0.exe
http://d.q**d.com/0.exe
