病毒釋放者
Trojan-Dropper.Win32.Agent.aqdc
捕獲時間
2010-11-08
危害等級
中
病毒癥狀
該樣本是使用“VC ”編寫的“病毒釋放者”,由微點主動防御軟件自動捕獲,長度為“31,232”字節,圖標為“
”,使用“exe”擴展名,通過文件捆綁、網頁掛馬、下載器下載等方式進行傳播。病毒主要目的是釋放病毒,并進一步控制用戶計算機,竊取用戶信息。
當用戶計算機感染此木馬病毒后,殺毒軟件自動退出無法啟動,并且發現未知進程等現象.
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網頁掛馬、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1)
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現木馬"Trojan-Dropper.Win32.Agent.aqdc”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
手動刪除文件
1.刪除 %Documents and Settings%\All Users\Application Data\lanmao.exe
2.刪除 %Documents and Settings%\All Users\Application Data\lanmao.xxx
3.刪除 %Documents and Settings%\All Users\456.bat
手動刪除注冊表
1.刪除 HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\666666666666666666666666666\
名稱:ImagePath
數據:C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\LANMAO.EXE
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析:
1.病毒通過SetErrorMode函數,系統不顯示critical-error-handler 消息對話框,只是把錯誤信息發到調用進程
2.病毒獲得系統系統目錄路徑和"C:\Documents and Settings\All Users\Application Data\lanmao.exe"路徑。比較病毒本身是否注入到"C:\WINDOWS\System32\svchost.exe"進程中,
3. 如果不成功,繼續比較病毒本身是否注入"C:\Documents and Settings\All Users\Application Data\lanmao.exe"進程中,如果成功,先刪除"C:\Documents and Settings\All Users\Application Data\lanmao.exe"文件,然后再在該目錄下建立"C:\Documents and Settings\All Users\Application Data\lanmao.exe"文件。病毒創建配置文件“C:\Documents and Settings\All Users\ yirana.inf”
并對該文件寫入數據。數據內容是創建注冊表信息。
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\666666666666666666666666666\
名稱:ImagePath
數據:C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\LANMAO.EXE
以服務的方式啟動該進程。
然后創建批處理文件C:\Documents and Settings\All Users\123.bat,以隱藏窗口方式的啟動該進程。批處理文件的作用是“rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 C:\Documents and Settings\All Users\yirana.inf ”執行完以后,刪除 “ C:\Documents and Settings\All Users\123.bat”和C:\Documents and Settings\All Users\yirana.inf ”文件。然后休眠一段時間,創建批處理文件C:\Documents and Settings\All Users\456.bat,以隱藏窗口方式的啟動該進程。批處理文件的作用:刪除病毒本身。
4.如果注入成功,建立線程函數,對文件"C:\Documents and Settings\All Users\Application Data\lanmao.exe"進行寫入數據操作。然后休眠一段時間,并建立進程快照,遍歷"360Safe.exe"進程,找到以后結束該進程。并繼續對該文件"C:\Documents and Settings\All Users\Application Data\lanmao.exe"進行寫入數據操作。并且將"C:\Documents and Settings\All Users\Application Data\lanmao.exe"移動到同一目錄下并重新命名為"C:\Documents and Settings\All Users\Application Data\lanmao.xxx",并對"C:\Documents and Settings\All Users\Application Data\lanmao.xxx"進行寫入數據操作,再一次將"C:\Documents and Settings\All Users\Application Data\lanmao.xxx"移動到同一目錄下并重新命名為"C:\Documents and Settings\All Users\Application Data\lanmao.exe"進行寫入數據操作。循環進行多次寫入操作。
5.病毒獲得當前進程的ID號,并建立互斥體變量"MRSG64ZOOBVTGOJOMNXW2ORYGA4DM==="防止程序多次運行。
6.病毒啟動網絡連接,以及建立線程,通過字符串"MRSG64ZOOBVTGOJOMNXW2ORYGA4DM==="解密出網絡地址。然后建立網絡連接,發送數據包以及用戶的操作系統版本和用戶的主機名發送到黑客指定的網站上。
病毒創建文件:
%Documents and Settings%\All Users\Application Data\lanmao.exe
%Documents and Settings%\All Users\123.bat
%Documents and Settings%\All Users\456.bat
%Documents and Settings%\All Users\Application Data\lanmao.xxx
%Documents and Settings%\All Users\ yirana.inf
病毒創建注冊表:
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\666666666666666666666666666\
名稱:ImagePath
數據:C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\LANMAO.EXE
病毒訪問網絡:
ddos.*****.com:8086
