木馬下載器
Trojan-Downloader.Win32.Small.afum
捕獲時(shí)間
2011-05-12
危害等級(jí)
中
病毒癥狀
該樣本是使用“VC ”編寫的“下載者程序”,由微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲, 采用“UPX”加殼方式,企圖躲避特征碼掃描,加殼后長度為“51,200”字節(jié),圖標(biāo)為“
”,使用“exe”擴(kuò)展名,通過文件捆綁、網(wǎng)頁掛馬、下載器下載等方式進(jìn)行傳播。
病毒主要目的是下載病毒木馬。當(dāng)用戶計(jì)算機(jī)感染此木馬病毒后,會(huì)出現(xiàn)系統(tǒng)無故報(bào)錯(cuò),并且發(fā)現(xiàn)未知進(jìn)程,用戶電腦運(yùn)行緩慢的等現(xiàn)象.
感染對(duì)象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網(wǎng)頁掛馬、下載器下載
防范措施
已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶,無須任何設(shè)置,微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級(jí)到最新版本,微點(diǎn)主動(dòng)防御都能夠有效清除該病毒。如果您沒有將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版,微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“未知間諜”,請(qǐng)直接選擇刪除處理(如圖1)
圖1 微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲未知病毒(未升級(jí))
如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版本,微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)木馬"Trojan-Downloader.Win32.Small.afum”,請(qǐng)直接選擇刪除(如圖2)。
圖2 微點(diǎn)主動(dòng)防御軟件升級(jí)后截獲已知病毒
未安裝微點(diǎn)主動(dòng)防御軟件的手動(dòng)解決辦法:
1.手動(dòng)刪除文件
刪除 %SystemRoot%\System32\mn.dll
刪除 %SystemRoot%\System32\deleteinstaller.txt
刪除 %SystemRoot%\System32\hplist.txt
刪除 %SystemRoot%\System32\mn_cfg.ini
刪除 %SystemRoot%\System32\mn_hp.dll
刪除 %SystemRoot%\System32\mn_mon.dll
刪除 %SystemRoot%\System32\CJ042402.css
刪除 %SystemRoot%\System32\tj1.css
刪除 %SystemRoot%\System32\hf.css
刪除 %SystemRoot%\System32\tool.css
刪除 %SystemRoot%\System32\feng.css
刪除 %Temp%該目錄下的可疑文件
2.手動(dòng)刪除注冊(cè)表
刪除HKEY_CURRENT_USER\Software\feelgood
3.利用微點(diǎn)桌面流氓圖標(biāo)清除工具進(jìn)行系統(tǒng)清理。
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū),通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時(shí)文件夾,通常為“C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認(rèn)安裝目錄,通常為:“C:\ProgramFiles”
病毒分析:
1.該文件通過獲取注冊(cè)表信息:HKEY_CURRENT_USER\Software\feelgood,如果存在,就退出程序。
2.如果不存在,獲取系統(tǒng)目錄路徑,在該目錄下創(chuàng)建"C:\WINDOWS\System32\mn.dll"文件。
3.遍歷窗口查看是否有窗口類名為"Shell_TrayWnd"的窗口信息,找到以后獲取指定窗口的進(jìn)程ID號(hào),通過一套"OpenProcess""VirtualAllocEx","WriteProcessMemory","CreateRemoteThread"等API函數(shù),進(jìn)行線程注入。注入的目的是隱藏性的加載"C:\WINDOWS\System32\mn.dll"文件。
4.在系統(tǒng)目錄下創(chuàng)建"C:\WINDOWS\System32\deleteinstaller.txt "文件。
5.創(chuàng)建注冊(cè)表信息:HKEY_CURRENT_USER\Software\feelgood。
6.注入加載"C:\WINDOWS\System32\mn.dll"成功后,建立線程函數(shù):首先讀取"C:\WINDOWS\System32\deleteinstaller.txt "文件,然后刪除之。
7.通過字符串的解密出網(wǎng)絡(luò)地址" http://121.****.169.****:15**/Count.asp",然后遍歷進(jìn)程,獲取用戶的進(jìn)程數(shù)量以及用戶的MAC地址上傳到指定的網(wǎng)絡(luò)地址,用來統(tǒng)計(jì)被感染的電腦的數(shù)量。
8.在系統(tǒng)目錄下創(chuàng)建"C:\WINDOWS\System32\mn_cfg.ini"文件,創(chuàng)建"C:\WINDOWS\System32\mn_hp.dll"文件,創(chuàng)建"C:\WINDOWS\System32\mn_mon.dll"文件。
9.如果創(chuàng)建"C:\WINDOWS\System32\mn_mon.dll"文件成功。首先提升當(dāng)前進(jìn)程的權(quán)限級(jí)別為"SeDebugPrivilege",然后通過GetPrivateProfileStringA函數(shù)讀取"C:\WINDOWS\System32\mn_cfg.ini"配置文件信息,并創(chuàng)建"C:\WINDOWS\System32\hplist.txt "文件,將配置文件的部分信息讀寫到"C:\WINDOWS\System32\hplist.txt "文件中,建立進(jìn)程快照,查找"winlogon.exe"進(jìn)程,如果找不到該進(jìn)程,遍歷窗口查看是否有窗口類名為"Null",標(biāo)題為"Windows 任務(wù)管理?,F7,""的窗口信息,找到以后獲取指定窗口的進(jìn)程ID號(hào),通過一套線程注入等API函數(shù),進(jìn)行線程注入。注入的目的是隱藏性的加載" C:\WINDOWS\System32\mn_mon.dll "文件。如果找到該進(jìn)程,進(jìn)行線程注入到"winlogon.exe"進(jìn)程中,注入的目的是隱藏性的加載"C:\WINDOWS\System32\mn_mon.dll "文件。
10.如果創(chuàng)建創(chuàng)建"C:\WINDOWS\System32\mn_mon.dll"文件不成功,通過GetPrivateProfileStringA函數(shù)讀取"C:\WINDOWS\System32\mn_cfg.ini"配置文件信息,建立線程函數(shù):通過"InternetOpenA"," InternetOpenUrlA "," HttpQueryInfoA "," InternetReadFile"等一些函數(shù),將網(wǎng)絡(luò)資源上的文件創(chuàng)建到本地:
dl0= http://121.****.169.****:15**/download/CJ042402.css
dl1= http://121.****.169.****:15**/download/tj1.css
dl2= http://121.****.169.****:15**/download/hf.css
dl3= http://121.****.169.****:15**/download/tool.css
dl4= http://121.****.169.****:15**/download/feng.css
分別在系統(tǒng)目錄下為: "C:\WINDOWS\System32\CJ042402.css ","C:\WINDOWS\System32\tj1.css ","C:\WINDOWS\System32\hf.css ","C:\WINDOWS\System32\tool.css ","C:\WINDOWS\System32\feng.css ",循環(huán)建立這5個(gè)文件,并以分別建立各自的線程運(yùn)行起來。
11.刪除文件"C:\WINDOWS\System32\mn_cfg.ini"文件,并休眠一段時(shí)間。通過字符串的解密出網(wǎng)絡(luò)地址,然后遍歷進(jìn)程,獲取用戶的進(jìn)程數(shù)量以及用戶的MAC地址上傳到指定的網(wǎng)絡(luò)地址,用來統(tǒng)計(jì)被感染的電腦的數(shù)量。如果存在"C:\WINDOWS\System32\mn_cfg.ini"文件,就不創(chuàng)建,如果不存在就創(chuàng)建"C:\WINDOWS\System32\mn_cfg.ini"文件,
12.建立線程函數(shù),主要是繼續(xù)進(jìn)行第6步操作。目的是用戶刪除這些文件時(shí)候,病毒自身又創(chuàng)建這些文件。
13. 注入加載"C:\WINDOWS\System32\mn_mon.dll"成功后,首先提升當(dāng)前進(jìn)程的權(quán)限級(jí)別為"SeDebugPrivilege",并建立線程函數(shù):獲取系統(tǒng)目錄路徑,將函數(shù)"CreateProcessW"進(jìn)行掛鉤子處理,每次調(diào)用該函數(shù)時(shí)候,就會(huì)遍歷任務(wù)管理器窗口的窗口信息,找到以后獲取指定窗口的進(jìn)程ID號(hào),"CreateRemoteThread"等API函數(shù),進(jìn)行線程注入。注入的目的是隱藏性的加載"C:\WINDOWS\System32\ mn_hp.dll"文件。
14. 注入加載"C:\WINDOWS\System32\mn_hp.dll"成功后,獲取%SystemRoot%\System32\hplist.txt文件路徑,將文件里面的資源下載到臨時(shí)文件夾目錄下以隱藏進(jìn)程的方式運(yùn)行之。并將函數(shù)"ZwQuerySystemInformation"進(jìn)行掛鉤子處理,運(yùn)行完畢后刪除自身。
病毒創(chuàng)建文件:
%SystemRoot%\System32\mn.dll
%SystemRoot%\System32\deleteinstaller.txt
%SystemRoot%\System32\hplist.txt
%SystemRoot%\System32\mn_cfg.ini
%SystemRoot%\System32\mn_hp.dll
%SystemRoot%\System32\mn_mon.dll
%SystemRoot%\System32\CJ042402.css
%SystemRoot%\System32\tj1.css
%SystemRoot%\System32\hf.css
%SystemRoot%\System32\tool.css
%SystemRoot%\System32\feng.css
病毒創(chuàng)建注冊(cè)表:
HKEY_CURRENT_USER\Software\feelgood
病毒訪問網(wǎng)絡(luò):
http://121.****.169.****:15**/Count.asp
http://121.****.169.****:15**/download/CJ042402.css
http://121.****.169.****:15**/download/tj1.css
http://121.****.169.****:15**/download/hf.css
http://121.****.169.****:15**/download/tool.css
http://121.****.169.****:15**/download/feng.css
