ELEX下載者
Trojan-Downloader.Win32.Geral.a
捕獲時(shí)間
2010-4-13
危害等級(jí)
中
病毒癥狀
該樣本是使用“VC /C”編寫的下載者類程序,由微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲,采用“Upack”加殼方式,加殼后長(zhǎng)度為“14,364”字節(jié),圖標(biāo)為“
”,使用“exe”擴(kuò)展名,通過(guò)移動(dòng)存儲(chǔ)介質(zhì)、文件捆綁、網(wǎng)頁(yè)掛馬、下載器下載等方式進(jìn)行傳播。病毒主要目的是下載安裝病毒木馬。
用戶中毒后會(huì)出現(xiàn)殺軟件無(wú)故退出,冰刃等安全工具無(wú)法打開(kāi),系統(tǒng)運(yùn)行緩慢,出現(xiàn)大量未知進(jìn)程等現(xiàn)象。
感染對(duì)象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳染途徑
網(wǎng)頁(yè)掛馬、文件捆綁、下載器下載
防范措施
已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶,無(wú)須任何設(shè)置,微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無(wú)論您是否已經(jīng)升級(jí)到最新版本,微點(diǎn)主動(dòng)防御都能夠有效清除該病毒。如果您沒(méi)有將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版,微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“未知木馬“,請(qǐng)直接選擇刪除處理(如圖1);
圖1 微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲未知病毒(未升級(jí))
如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版本,微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)木馬"Trojan-Downloader.Win32.Geral.a”,請(qǐng)直接選擇刪除(如圖2)。
圖2 微點(diǎn)主動(dòng)防御軟件升級(jí)后截獲已知病毒
未安裝微點(diǎn)主動(dòng)防御軟件的手動(dòng)解決辦法:
1.手動(dòng)刪除以下文件
%Temp%\nsb3.tmp
%SystemRoot%\linkinfo.dll
X:\autorun.inf
X:\ELEX.PIF
2.刪除注冊(cè)表項(xiàng)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
下的大量安全相關(guān)軟件的劫持項(xiàng)
3. 用正常的linkinfo.dll替換%SystemRoot%\linkinfo.dll
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū),通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時(shí)文件夾,通常為“C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認(rèn)安裝目錄,通常為:“C:\ProgramFiles”
病毒分析:
1.查找盤符根目錄autorun.inf是否存在如果不存在則創(chuàng)建互斥體,提升自身權(quán)限,將自身設(shè)置為系統(tǒng)隱藏屬性。并設(shè)置自身重啟后刪除。
2.在%Temp%目錄釋放nsb3.tmp (數(shù)字部分隨機(jī))。并加載運(yùn)行。創(chuàng)建線程查找大時(shí)不時(shí)安全相關(guān)軟件和工具是否在運(yùn)行,如果找到,則試圖
強(qiáng)制關(guān)閉其服務(wù),終止進(jìn)程,并破壞安全軟件文件以及注冊(cè)表信息使其不能運(yùn)行。
3.并加載sfc_os.dll去除windows文件保護(hù),將系統(tǒng)文件%SystemRoot%\linkinfo.dll重命名后將釋放的臨時(shí)文件%Temp%\nbs3.tmp替換系統(tǒng)
文件%SystemRoot%\linkinfo.dll
4.創(chuàng)建線程循環(huán),遍歷磁盤并在根目錄生成autorun.inf,并將自身拷貝到根目錄重名為ELEX.PIF。用戶雙擊盤符時(shí)便運(yùn)行病毒文件,該文件運(yùn)行后會(huì)利用命令行打開(kāi)雙擊盤符使用戶無(wú)法察覺(jué)。
5.新生成的linkinfo.dll被加載運(yùn)行后后創(chuàng)建線程從指定網(wǎng)址下載包含木馬下載地址的文件并另存為%SystemRoot%\Fonts\bst.ini
6.創(chuàng)建線程循環(huán)改寫注冊(cè)表在注冊(cè)表項(xiàng)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
下建立大量安全相關(guān)軟件的映像劫持像
7.創(chuàng)建線程查找冰刃等安全工具進(jìn)程并關(guān)閉。
8,從包含病毒下載地址的bst.ini文件中讀取病毒下載地址,下載大量病毒木馬運(yùn)行。
病毒創(chuàng)建文件:
%Temp%\nsb3.tmp
%SystemRoot%\linkinfo.dll
X:\autorun.inf
X:\ELEX.PIF
病毒創(chuàng)建注冊(cè)表:
在注冊(cè)表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
下建立大量安全相關(guān)軟件的映像劫持
病毒訪問(wèn)網(wǎng)絡(luò):
http://h.dba**.com/s.txt
