快播殺手
Trojan.Win32.Pincav.ab
捕獲時間
2010-4-23
危害等級
中
病毒癥狀
該樣本是使用“Visual C /C”編寫的木馬下載器,由微點主動防御軟件自動捕獲。長度為“35,840”字節(jié),圖標(biāo)為“
”,病毒擴(kuò)展名為“exe”,主要通過“文件捆綁”、“下載器下載”、“移動存儲介質(zhì)”等方式傳播。病毒主要目的是下載安裝病毒木馬。
用戶中毒后,會出現(xiàn)出現(xiàn)網(wǎng)絡(luò)異常連接,安全軟件無故退出,系統(tǒng)無故報錯,發(fā)現(xiàn)大量未知進(jìn)程等現(xiàn)象。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳染途徑
網(wǎng)頁掛馬、文件捆綁、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設(shè)置,微點主動防御將自動保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發(fā)現(xiàn)該病毒后將報警提示您發(fā)現(xiàn)“未知間諜軟件“,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經(jīng)將微點主動防御軟件升級到最新版本,微點將報警提示您發(fā)現(xiàn)木馬"Trojan.Win32.Pincav.ab”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1.手動刪除以下文件:
%SystemRoot%\system32\ijh.dll
%SystemRoot%\system32\lwf.dll
%SystemRoot%\system32\system.exe
%Temp%\IXP000.TMP\QVOD播~1.exe
%Temp%\IXP000.TMP\QQQSSE~1.EXE
%SystemDriver%\Driver.sys
%SystemDriver%\pci.sys
2.手動刪除以下注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
數(shù)據(jù):system
值:C:\WINDOWS\system32\system.exe
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū),通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認(rèn)安裝目錄,通常為:“C:\ProgramFiles”
病毒分析:
1.該樣本捆綁在QVOD播放器(快播)安裝文件上,用戶點擊安裝后病毒文件和快播安裝文件將釋放到%Temp%\IXP000.TMP目錄下,并命名為“QVOD播~1.EXE”,“QQQSSE~1.EXE”分別運行。
2.病毒文件QVOD播~1.EXE”運行后比較自身是否為%SystemRoot%\system32\system.exe。如果是則執(zhí)行下載功能。如果不是則將自身拷貝到%SystemRoot%\system32\system.exe。并釋放病毒文件ijh.dll、lwf.dll(文件名隨機(jī))到%SystemRoot%\system32\目錄分別加載運行。
3.ijh.dll加載運行后在系統(tǒng)目錄%SystemDriver%下釋放驅(qū)動文件Driver.sys和pci.sys。并分別創(chuàng)建服務(wù)加載運行驅(qū)動文件。獲取SSDT地址并恢復(fù)SSDT,注入當(dāng)前系統(tǒng)所有進(jìn)程并判斷自身是否注入安全軟件,如果成功則關(guān)閉安全軟件。成功后刪除驅(qū)動文件。查找以下服務(wù)360rp,RsRavMon,McNASvc,MpfService,McProxy,McShield,McODS,mcmscsvc,McSysmon,ekrn并閉并刪除該服務(wù)。
4.lwf.dll加載運行后創(chuàng)建互斥體防止多次運行,并創(chuàng)建線程循環(huán)創(chuàng)建注冊表實現(xiàn)自啟動
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
數(shù)據(jù):system
值:C:\WINDOWS\system32\system.exe
將系統(tǒng)文件wininet.dll復(fù)制到%Temp%目錄并獲取其相關(guān)函數(shù),每隔一段時間從指定網(wǎng)址讀取病毒下載地址,下載安裝大量病毒木馬文件到本地機(jī)器。
病毒創(chuàng)建文件:
%SystemRoot%\system32\ijh.dll
%SystemRoot%\system32\lwf.dll
%SystemRoot%\system32\system.exe
%Temp%\IXP000.TMP\QVOD播~1.exe
%Temp%\IXP000.TMP\QQQSSE~1.EXE
%SystemDriver%\Driver.sys
%SystemDriver%\pci.sys
病毒創(chuàng)建注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
數(shù)據(jù):system
值:C:\WINDOWS\system32\system.exe
病毒訪問網(wǎng)絡(luò):
http://rc04.752***.com:8080/rc04/d.txt
http://rc04.o6**.com:8080/ok.exe
http://rc04.o6**.com:8080/a02.exe
http://rc04.o6**.com:8080/a05.exe
http://rc04.o6**.com:8080/a17.exe
http://rc04.o6**.com:8080/a31.exe
http://rc04.o6**.com:8080/a14.exe
http://rc04.o6**.com:8080/a4.exe
http://rc04.o6**.com:8080/a03.exe
http://rc04.o6**.com:8080/a09.exe
http://rc04.o6**.com:8080/a07.exe
http://rc04.o6**.com:8080/a10.exe
http://rc04.o6**.com:8080/a24.exe
http://rc04.o6**.com:8080/a13.exe
http://rc04.o6**.com:8080/a30.exe
http://rc04.o6**.com:8080/a04.exe
http://rc04.o6**.com:8080/a01.exe
http://rc04.o6**.com:8080/a08.exe
http://rc04.o6**.com:8080/a19.exe
http://rc04.o6**.com:8080/a11.exe
http://rc04.o6**.com:8080/a25.exe
http://rc04.o6**.com:8080/a16.exe
http://rc04.o6**.com:8080/a21.exe
http://rc04.o6**.com:8080/a27.exe
http://rc04.o6**.com:8080/a12.exe
http://rc04.o6**.com:8080/a23.exe
http://rc04.o6**.com:8080/a26.exe
http://rc04.o6**.com:8080/a15.exe
http://rc04.o6**.com:8080/a18.exe
http://rc04.o6**.com:8080/a20.exe
http://rc04.o6**.com:8080/a22.exe
http://rc04.o6**.com:8080/a28.exe
http://rc04.o6**.com:8080/a29.exe
http://rc04.o6**.com:8080/a06.exe
http://rc04.o6**.com:8080/a1.exe
http://rc04.o6**.com:8080/a2.exe
http://rc04.o6**.com:8080/a3.exe
http://rc04.o6**.com:8080/a5.exe
http://rc04.o6**.com:8080/b4.exe
http://rc04.o6**.com:8080/k4.exe
http://rc04.o6**.com:8080/tj.exe
http://rc04.o6**.com:8080/down.exe
