木馬下載器
Trojan-Downloader.Win32.Agent.bpkt
捕獲時間
2011-01-25
危害等級
中
病毒癥狀
該樣本是使用VC 編寫的下載者程序,用UPX加殼,由微點主動防御軟件自動捕獲,長度為“46,080 字節”,圖標為“
”,病毒擴展名為“exe”,主要通過“文件捆綁”、“下載器下載”、“網頁掛馬”等方式傳播,病毒主要目的為下載惡意程序至用戶主機運行。
用戶中毒后,會出現計算機及網絡運行緩慢,出現未知進程和服務,系統及網絡緩慢、程序無故關閉等導致用戶隱私泄露及影響用戶使用的現象。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網頁掛馬、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1)
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現木馬"Trojan-Downloader.Win32.Agent.bpkt”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1、手動刪除以下文件:
%SystemRoot%\cctcpulus.dat
%Temp%\updata.exe
C:\WINDOWS\system32\kav.exe
2、手動刪除以下注冊表值:
HKEY_LOCAL_MACHINE\SOFTWARE\Internets
名稱:DirectoryPath
數據:病毒原文件所在路徑
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名稱:kav
數值:C:\WINDOWS\system32\kav.exe
3、將正常注冊表值導入到以下注冊表位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local
4、用正常文件替換以下文件:
%SystemRoot%\system32\drivers\etc\hosts
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
1、創建互斥體“FCAERWQ..”,防止程序多次運行;
2、創建線程,在線程里創建進程快照,遍歷進程查找avp.exe進程,如果找到,會在%SystemRoot%目錄下創建文件cctcpulus.dat,調用cctcpulus.dat的DVD函數,創建線程,遍歷窗口查找avp.exe的窗口,結束該進程;如果沒有找到,退出線程;
3、創建進程快照 ,遍歷進程查找RavMonD.exe進程,如果沒有找到,會在%Temp%目錄下創建注冊表HIVE文件360data.tmp,提高自身進程權限,將該HIVE文件導入為注冊表項以修改本地IP安全策略。對應注冊表項為:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\,完成后刪除該文件;
4、利用命令行將本地IP安全策略PolicyAgent啟動方式設為自啟動,然后重新啟動該服務;
5、獲取系統目錄,創建目錄%ProgramFiles%\ATI,在該目錄下創建驅動安裝文件amdk8.inf,以及對應驅動文件admk8.sys;
6、成功后將%ProgramFiles%\ATI\amdk8.sys復制為%SystemRoot%\system32\drivers\amdk8.sys并加載為服務項,服務項名稱為“amdk8”。對應注冊表項為:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amdk8
名稱:ImagePath 數值:system32\DRIVERS\amdk8.sys;
7、在%ProgramFiles%\ATI目錄下創建動態庫文件amdk8.dll,加載該動態庫,查找avp.exe、360safebox.exe等安全軟件進程,如果找到則利用驅動文件結束安全軟件進程;建立映像劫持,在注冊表內劫持大量安全軟件主程序,使安全軟件無法啟動,對應注冊表項:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\,完成后刪除amdk8.dll、amdk8.inf、amdk8.sys;
8、建立注冊表項HKEY_LOCAL_MACHINE\SOFTWARE\Internets,名稱為DirectoryPath,數據指向病毒原文件所在路徑;
9、獲取臨時文件夾目錄%Temp%,在該目錄下創建文件updata.exe,然后會打開該文件;
10、updata.exe運行后,首先會創建互斥體ACDTEST......,防止程序多次運行;
11、創建注冊表項HKEY_LOCAL_MACHINE\SYSTEM\
Microsoft\Windows\CurrentVersion\Run,數據指向C:\WINDOWS\system32\kav.exe,用于病毒文件的自啟動;
12、update.exe會修改本地hosts文件以屏蔽安全軟件網址,并連接指定網站,發送本地網卡、系統等信息到指指定網址,下載大量惡意程序到本地運行;
13、運行updata.exe后,病毒會在%Temp%目錄下創建文件%Temp%\kisdat.tmp,以參數khy加載該動態庫文件;
14、kisdat.tmp加載后首先會提升自身進程權限,然后在%Temp%目錄下創建驅動文件DogKiller.sys,創建驅動服務項HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DogKiller,服務名稱為DogKiller,加載該服務項,完成后刪除kisdat.tmp和DogKiller.sys;
15、比較病毒自身是否位于C:\WINDOWS\system32\kav.exe,如果不是,將自身移動為C:\WINDOWS\system32\kav.exe;
病毒創建文件:
%SystemRoot%\cctcpulus.dat
%Temp%\360data.tmp
%ProgramFiles%\admk8.inf
%ProgramFiles%\admk8.dll
%ProgramFiles%\admk8.sys
%SystemRoot%\system32\drivers\amdk8.sys
%Temp%\updata.exe
%Temp%\kisdat.tmp
%Temp%\DogKiller.sys
C:\WINDOWS\system32\kav.exe
病毒建立注冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amdk8
名稱:ImagePath
數值:system32\DRIVERS\amdk8.sys
HKEY_LOCAL_MACHINE\SOFTWARE\Internets
名稱:DirectoryPath
數據:病毒原文件所在路徑
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DogKiller
名稱:DogKiller
數據:%Temp%\DogKiller.sys
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名稱:kav
數值:C:\WINDOWS\system32\kav.exe
病毒連接網絡:
http://count.***.net/mmm/count.asp
http://down.***.net/txt/mmm.txt
http://119.***.15:3721/exe/zx.exe
http://119.***.15:3721/exe/wd.exe
http://119.***.15:3721/exe/wow.exe
http://119.***.15:3721/exe/dnf.exe
http://119.***.15:3721/exe/mh.exe
http://119.***.15:3721/exe/lzg.exe
http://119.***.15:3721/exe/qqsg.exe
http://119.***.15:3721/exe/dh2.exe
http://119.***.15:3721/exe/tl.exe
http://119.***.15:3721/exe/qq.exe
http://122.***.169:3322/down/ie.exe
http://122.***.169:3322/down/59.exe
