beplay体育app下载/欧国联含金量高吗/辽宁篮球直播/福彩快乐8走势图一定牛

   
首 頁  |  微點(diǎn)新聞  |  業(yè)界動態(tài)  |  安全資訊  |  安全快報(bào)  |  產(chǎn)品信息  |  網(wǎng)絡(luò)版首頁
通行證  |  客服中心  |  微點(diǎn)社區(qū)  |  微點(diǎn)郵局  |  常見問題  |  在線訂購  |  各地代理商
 

木馬下載者Trojan-Downloader.Win32.Generic.btw
來源:  2012-08-16 16:17:52

木馬下載者

Trojan-Downloader.Win32.Generic.btw

捕獲時間

2012-08-16

危害等級



病毒癥狀

    該樣本是使用“C/C ”編寫的下載器,由微點(diǎn)主動防御軟件自動捕獲,采用“nSPack”加殼,企圖避過殺軟掃描,加殼后長度為“47,046”字節(jié),圖標(biāo)為“
”,使用“exe”擴(kuò)展名,通過移動存儲介質(zhì)、文件捆綁、網(wǎng)頁掛馬、下載器下載等方式進(jìn)行傳播。病毒主要目的是指引用戶計(jì)算機(jī)到指定的URL地址去下載更多的病毒或木馬后門文件并運(yùn)行。
用戶中毒后會出現(xiàn)電腦的運(yùn)行速度變慢,殺軟無故退出而不能啟動,出現(xiàn)大量未知進(jìn)程等現(xiàn)象。

感染對象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

傳播途徑

文件捆綁、網(wǎng)頁掛馬、下載器下載

防范措施

已安裝使用微點(diǎn)主動防御軟件的用戶,無須任何設(shè)置,微點(diǎn)主動防御將自動保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級到最新版本,微點(diǎn)主動防御都能夠有效清除該病毒。如果您沒有將微點(diǎn)主動防御軟件升級到最新版,微點(diǎn)主動防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“未知木馬”,請直接選擇刪除處理(如圖1)


圖1 微點(diǎn)主動防御軟件自動捕獲未知病毒(未升級)





如果您已經(jīng)將微點(diǎn)主動防御軟件升級到最新版本,微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)木馬"Trojan-Downloader.Win32.Generic.btw”,請直接選擇刪除(如圖2)。


圖2   微點(diǎn)主動防御軟件升級后截獲已知病毒





未安裝微點(diǎn)主動防御軟件的手動解決辦法:

1.停止服務(wù)"Beep",并替將病毒文件"beep.sys"替換為正常文件

2.手動刪除以下文件:

"%Temp%\PPLivex.exe"
"%Temp%\SuoIE.exe"
"%Temp%\Rootkit.exe"
"%Temp%\Activex.exe"
"%Temp%\iykfus.exe(文件名隨機(jī))"
"c:\my.sys"
"%Temp%\hook.rom"
"%Temp%\PPTV(pplive)_jinshan_162.exe"
"%SystemRoot%\system32\iykfus.exe(文件名隨機(jī))"
"%SystemRoot%\system32\config\systemprofile\桌面\方便導(dǎo)航.lnk"
"%SystemRoot%\TEMP\BJ.exe"
"%SystemRoot%\WinUpdate.exe"
"%SystemRoot%\system32\svchost.dll"
"%SystemRoot%\TEMP\hra33.dll"
"%SystemRoot%\TEMP\hrl5.tmp"
除系統(tǒng)文件"lpk.dll"之外的所有其他同名文件

3.恢復(fù)注冊表鍵

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network"、
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Minimal"
下"AFD"、"Base"、"Boot file system"、"CryptSvc"、"AppMgmt"、"Browser"、"DcomLaunch"等多個子鍵



變量聲明:

  %SystemDriver%       系統(tǒng)所在分區(qū),通常為“C:\”
  %SystemRoot%        WINDODWS所在目錄,通常為“C:\Windows”
  %Documents and Settings%  用戶文檔目錄,通常為“C:\Documents and Settings”
  %Temp%           臨時文件夾,通常為“C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp”
  %ProgramFiles%       系統(tǒng)程序默認(rèn)安裝目錄,通常為:“C:\ProgramFiles”

病毒分析:

1.獲取系統(tǒng)緩存目錄,下載文件"http://www.qipa****.com:5678/User/List2.txt"保存為"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\DownList2.txt"。
2.讀取"DownList2.txt"中網(wǎng)址信息,下載文件"http://www. qipa****.com:5678/Install/PPLivex.exe"保存為"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\PPLivex.exe",之后執(zhí)行該文件。
3.下載文件"http://www.qipa****.com:5678/Install/SuoIE.exe"保存為"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\SuoIE.exe",之后執(zhí)行該文件。
4.下載文件"http://www.qipa****.com:5678/Install/Rootkit.exe"保存為"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rootkit.exe",之后執(zhí)行該文件。
5.下載文件"http://www.qipa****.com:5678/Install/Activex.exe"保存為"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Activex.exe",之后執(zhí)行該文件。
6.刪除文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\DownList2.txt"。
7."C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\SuoIE.exe"運(yùn)行之后:
(1)獲取系統(tǒng)緩存目錄,創(chuàng)建文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iykfus.exe(文件名隨機(jī))",寫入病毒數(shù)據(jù)并創(chuàng)建新進(jìn)程執(zhí)行。
(2)獲取本地mac地址、瀏覽器類型等信息,拼接并訪問網(wǎng)址"http://www.****2012.com/Count.asp?Mac=000c29***4fe&UserID=10011&ProcessNum=26&Type=IE",將本地信息發(fā)送到該網(wǎng)址。
8."C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rootkit.exe"運(yùn)行之后:
(1)創(chuàng)建進(jìn)程快照,枚舉查找"RSTray.exe"、"KVMon"進(jìn)程,找到則退出。
(2)創(chuàng)建文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DFE0F5.tmp"寫入病毒數(shù)據(jù)并移動重命名為"C:\WINDOWS\system32\drivers\bios.sys"。
將文件"C:\WINDOWS\system32\drivers\bios.sys"拷貝重命名為"bios.sys1"、"bios.sys2",分別替換掉系統(tǒng)文件"C:\WINDOWS\system32\drivers\beep.sys"、"C:\WINDOWS\system32\dllcache\beep.sys",并重新啟動"Beep"服務(wù),加載病毒文件"bios.sys"。
(3)創(chuàng)建文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DFE0F5.tmp"寫入病毒數(shù)據(jù)并拷貝重命名為"c:\my.sys",之后刪除文件"~DFE0F5.tmp"。
(4)創(chuàng)建文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DFE0F5.tmp"寫入病毒數(shù)據(jù)并移動重命名為"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\hook.rom",之后刪除文件"~DFE0F5.tmp"。
(5)發(fā)送控制請求與設(shè)備"\\Device\\Bios"通信,惡意修改系統(tǒng),安裝后門控制用戶計(jì)算機(jī)。
9."C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\PPLivex.exe"運(yùn)行之后:
(1)訪問網(wǎng)絡(luò)"http://www.h***uo.net/api?",下載文件"http://d.union.i***shan.com/pptv/link/PPTV(pplive)_jinshan_162.exe"保存為"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\PPTV(pplive)_jinshan_162.exe"并創(chuàng)建新進(jìn)程執(zhí)行。
10."C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iykfus.exe(文件名隨機(jī))"運(yùn)行之后:
(1)將文件"C:\Documents and Settings\Administrator\Local Settings\Temp\iykfus.exe(文件名隨機(jī))"拷貝重命名為"C:\WINDOWS\system32\iykfus.exe(文件名隨機(jī))"。
(2)創(chuàng)建名字為"WinDMS"的服務(wù),顯示名為"Windows 驅(qū)動管理協(xié)助服務(wù)",啟動類型為自動,執(zhí)行映像指向"C:\WINDOWS\system32\iykfus.exe(文件名隨機(jī))",之后啟動此服務(wù)。
(3)創(chuàng)建新線程,連接到網(wǎng)絡(luò)"homepage.he****012.com",并發(fā)送和接收病毒數(shù)據(jù)。
(4)創(chuàng)建文件"C:\WINDOWS\system32\config\systemprofile\桌面\方便導(dǎo)航.lnk",指向惡意網(wǎng)址"http://dh499****22.org"。
(5)創(chuàng)建文件"C:\WINDOWS\TEMP\BJ.exe"下載病毒數(shù)據(jù)寫入該文件并執(zhí)行。
(6)結(jié)束進(jìn)程"comine.exe",刪除文件"C:\Program Files\Windows Media Player\comine.exe"。
(7)創(chuàng)建文件"C:\WINDOWS\WinUpdate.exe",寫入病毒數(shù)據(jù)。
(8)創(chuàng)建文件"C:\WINDOWS\system32\svchost.dll",寫入病毒數(shù)據(jù),并將該文件注入到"explorer.exe"進(jìn)程并執(zhí)行。
(9)刪除注冊表鍵"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network"、 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Minimal"下 "AFD"、 "Base"、"Boot file system"、"CryptSvc"、"AppMgmt"、"Browser"、"DcomLaunch"等多個子鍵。
(10)服務(wù)啟動之后:
創(chuàng)建文件"C:\WINDOWS\TEMP\hra33.dll",寫入病毒數(shù)據(jù)并加載執(zhí)行。(該文件加載之后,并創(chuàng)建文件"C:\WINDOWS\TEMP\hrl5.tmp",寫入病毒數(shù)據(jù)并創(chuàng)建新進(jìn)程執(zhí)行,"hrl5.tmp"功能與"iykfus.exe"類似,加載系統(tǒng)文件"lpk.dll",并導(dǎo)出同名函數(shù)"LpkDllInitialize"、"LpkDrawTextEx"等,開辟新新線程,遍歷所有磁盤查找"*.exe"文件,將自身拷貝重命名為同目錄下"lpk.dll",并執(zhí)行命令"cmd /c C:\PROGRA~1\WinRAR\rar.exe vb "*:*\*.exe" lpk.dll|find /i "lpk.dll""、""C:\PROGRA~1\WinRAR\rar.exe" x "*:*\*.exe" *.exe "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IRAF64.tmp\""等命令進(jìn)行捆綁感染。)

病毒創(chuàng)建文件:

"%Temp%\DownList2.txt"
"%Temp%\PPLivex.exe"
"%Temp%\SuoIE.exe"
"%Temp%\Rootkit.exe"
"%Temp%\Activex.exe"
"%Temp%\iykfus.exe(文件名隨機(jī))"
"%Temp%\~DFE0F5.tmp"
"%SystemRoot%\system32\drivers\bios.sys"
"%SystemRoot%\system32\dllcache\beep.sys"
"%SystemRoot%\system32\drivers\bios.sys1"
"%SystemRoot%\system32\drivers\bios.sys2"
"c:\my.sys"
"%Temp%\hook.rom"
"%Temp%\PPTV(pplive)_jinshan_162.exe"
"%SystemRoot%\system32\iykfus.exe(文件名隨機(jī))"
"%SystemRoot%\system32\config\systemprofile\桌面\方便導(dǎo)航.lnk"
"%SystemRoot%\TEMP\BJ.exe"
"%SystemRoot%\WinUpdate.exe"
"%SystemRoot%\system32\svchost.dll"
"%SystemRoot%\TEMP\hra33.dll"
"%SystemRoot%\TEMP\hrl5.tmp"
"*:*\lpk.dll"

病毒刪除文件:

"%Temp%\DownList2.txt"
"%ProgramFiles%\Windows Media Player\comine.exe"
"%Temp%\~DFE0F5.tmp"

病毒訪問網(wǎng)絡(luò):

"http://www.qipa****.com:5678/User/List2.txt"
"http://www. qipa****.com:5678/Install/PPLivex.exe"
"http://www.qipa****.com:5678/Install/SuoIE.exe"
"http://www.qipa****.com:5678/Install/Rootkit.exe"
"http://www.qipa****.com:5678/Install/Activex.exe"
"http://www.****2012.com/Count.asp?Mac=000c29***4fe&UserID=10011&ProcessNum=26&Type=IE"
"http://www.h***uo.net/api?"
"http://d.union.i***shan.com/pptv/link/PPTV(pplive)_jinshan_162.exe"
"homepage.he****012.com"
"http://dh499****22.org"

病毒刪除注冊表:

鍵"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network"、
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Minimal"
下"AFD"、"Base"、"Boot file system"、"CryptSvc"、"AppMgmt"、"Browser"、"DcomLaunch"等多個子鍵
相關(guān)主題:
沒有相關(guān)主題

免費(fèi)體驗(yàn)
下  載
安裝演示