木馬程序
Trojan-Dropper.Win32.Ekafod.x
捕獲時間
2011-05-11
危害等級
中
病毒癥狀
該樣本是使用“MFC”編寫的木馬程序,由微點主動防御軟件自動捕獲��,采用“UPX”加殼方式,企圖躲避特征碼掃描�,加殼后長度為長度為“42,496 字節”�,圖標為“
”,病毒擴展名為“.exe”�����,病毒偽裝成文件夾圖標并隱藏擴展名以迷惑用戶����,病毒主要通過“文件捆綁”�����、“下載器下載”�����,“網頁掛馬”等方式傳播,病毒主要目的是釋放病毒到本機運行,用戶中毒后��,會出現系統運行緩慢���,出現未知進程���。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁��、網頁掛馬���、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶�,無須任何設置�����,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞���。無論您是否已經升級到最新版本���,微點主動防御都能夠有效清除該病毒�����。如果您沒有將微點主動防御軟件升級到最新版���,微點主動防御軟件在發現該病毒后將報警提示您發現“未知后門”���,請直接選擇刪除處理(如圖1)
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本����,微點將報警提示您發現木馬"Trojan-Dropper.Win32.Ekafod.x”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1、手動刪除以下文件:
%Systemroot%\System32\wicy111.dll
%Systemroot%\System32\tt_b_2.dll
%Systemroot%\System32\lockdrv.sys
2����、手動刪除以下注冊表項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lockdrv.sys
3���、手動修改以下注冊表項:
修改HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
名稱:
數據:C:\Program Files\Internet Explorer\IEXPLORE.EXE
變量聲明:
%SystemDriver% 系統所在分區���,通常為“C:\”
%SystemRoot% WINDODWS所在目錄���,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄�,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄���,通常為:“C:\ProgramFiles”
病毒分析
(1),查找計算機中是否存在“病毒當前目錄\病毒名”(不帶exe擴展名)目錄�����,如果存在�����,表明當前目錄中存在和此病毒名相同的目錄名�,用資源管理器打開�����。如果不存在則設置注冊表鍵HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced相應的鍵值,隱藏文件擴展名��,不顯示隱藏文件及系統保護文件���,從而達到隱蔽病毒自身的效果�。
(2),打開注冊表項HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command�����,修改其默認鍵值為“C:\Program Files\Internet Explorer\IEXPLORE.EXE http://www.488**.cn"��。
(3)���,查找是否有%Systemroot%\System32\wicy111.dll和%Systemroot%\System32\tt_b_2.dll�,如果沒有則創建這兩個文件�����,并寫入相應數據���,創建進程通過regsvr32命令分別注冊運行以上兩個dll文件����。
(4)�,創建%Systemroot%\System32\lockdrv.sys,并寫入數據��,判斷是否存在lockdrv.sys服務���,如果沒有則為此文件創建相應的服務(該服務為驅動�����、進程服務類型,services.msc中查詢不到���,只能在注冊表中查看),并創建服務相應的注冊表項HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lockdrv.sys,隨后啟動該服務����。
(5)�����,在病毒當前目錄創建批處理程序375519961057540.bat,并往里寫入批處理命令��。運行此命令��,刪除病毒文件和此批處理程序�����。
(6)���,加載運行%Systemroot%\System32\wicy111.dll�����,在注冊表項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler中創建鍵值項{C4560D12-CE25-4A2E-A5D4-B5070FCBE282},其值為csiddll��。
(7)�,檢查計算機是否能訪問互聯網,如果可以�,將和http://www.renren125**.com/MainDll/SoftSize.asp建立鏈接����。下載病毒木馬程序到本機運行�����。
病毒創建文件:
%Systemroot%\System32\wicy111.dll
%Systemroot%\System32\tt_b_2.dll
%Systemroot%\System32\lockdrv.sys
病毒當前所在目錄\375519961057540.bat
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lockdrv.sys
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
名稱:
數據: C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://www.488**.cn
病毒訪問網絡:
http://www.renren125**.com/MainDll/SoftSize.asp
http://www.488**.cn
