捕获时间
2008-12-10
病毒摘要
该样本是使用“delphi”编写的木马下载器程序,由微点主动防御软件自动捕获,采用“upack”加壳方式试图躲避特征码扫描,加壳后长度为“38,968字节”,图标为“”,使用“exe”扩展名,通过“网页木马”、“文件捆绑”途径植入用户计算机,运行后联网下载其他木马到本地运行。
感染对象
windows 2000/windows xp/windows 2003
传播途径
网页木马、文件捆绑
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);
图1 主动防御自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"trojan-downloader.win32.killav.e”,请直接选择删除(如图2)。
图2 升级后截获已知病毒
对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取ag旗舰厅首页的技术支持。
3、开启windows自动更新,及时打好漏洞补丁。
病毒分析
该样本程序被执行后,拷贝自身到系统目录%systemroot%\system\下,名称为“llwzjy081130.exe”,并释放“mvjaj32dla.dll”文件。
遍历枚举下列进程名,一旦发现尝试使用“ntsd -c q –p pid”命令关闭进程:
| |
runiep.exe
kregex.exe
kvxp.kxp
360tray.exe
rstray.exe
qqdoctor.exe
drrtp.exe |
|
添加如下相关注册表项实现自身随机启动:
| |
项:hklm\ software\microsoft\windows\currentversion\policies\explorer\run
键:dlnajjbdfa
指向数据:%systemroot%\system\llwzjy081130.exe |
|
修改下列的注册表键值实现去除显示隐藏文件,企图隐藏木马:
| |
项:hklm\ software \microsoft\windows\currentversion\explorer\advanced\folder
\hidden\showall
键:checkedvalue
指向数据:0 |
|
在注册表hklm\software\microsoft\windows nt\currentversion\image file execution options\下添加下列子项,达到劫持指定安全软件的目的:
| |
子项名:
360rpt.exe
drrtp.exe
qqdoctor.exe
键值均为:debugger
数据均指向:%systemroot%\system32\svchost.exe |
|
创建含木马信息的配置文件到%allusersprofile%\目录下,名称为“jjjydf16.ini”,内容如下:
| |
[mydown]
old_exe=
old_dll32=
ver=081130
fnexe=c:\windows\system\llwzjy081130.exe
reg_start=dlnajjbdfa
fn_dll=c:\windows\system\mvjaj32dla.dll
[kill]
window=33343939393132313738313233303835232429
[run]
delay=90
pzjg=180
xxjg=10 |
|
隐藏方式调用“iexplore.exe”进程,并向其进程空间注入“mvjaj32dla.dll”文件,等待联网状态访问下列木马列表网址下载木马,下载后自动调用运行:
| |
| http://www.380vip.cn/**/mydown.asp?ver=081130&tgid=032&address=00-**-29-**-da-87 |
|
网址内容如下:
| |
begin
1,081120,10241,,90,0,180,1,10,17,1,0,1,1
7,
2,1,77312,http://www.180vip.cn/**/706.exe,0,0-24,,
2,1,32768,http://www.180vip.cn/**/12.exe,0,0-24,,
2,1,90151,http://www.180vip.cn/**/45.exe,0,0-24,,
2,1,70308,http://www.180vip.cn/**/11.exe,0,0-24,,
2,1,37888,http://www.180vip.cn/**/37.exe,0,0-24,,
2,1,56320,http://www.180vip.cn/**/1180.exe,0,0-24,,
2,1,17441,http://www.180vip.cn/**/ys.exe,0,0-24,,
2,1,17973,http://www.180vip.cn/**/mh.exe,0,0-24,,
2,1,16325,http://www.180vip.cn/**/wd.exe,0,0-24,,
2,1,18597,http://www.180vip.cn/**/ms.exe,0,0-24,,
2,1,73188,http://www.180vip.cn/**/9517.exe,0,0-24,,
2,1,86088,http://www.180vip.cn/**/cj.exe,0,0-24,,
9,http://,1,1,1,2,2
end |
|
隐藏方式调用下列命令实现自身删除:
| |
| cmd /c del "c:\sample.exe" |
|
|
