木马下载器
trojan-downloader.win32.geral.u
捕获时间
2010-9-26
危害等级
中
病毒症状
该样本是使用“vc ”编写的“下载者”,由微点主动防御软件自动捕获, 采用“nspack”加壳方式,企图躲避特征码扫描,加壳后长度为“40,781”字节,图标为“”,使用“exe”扩展名,通过文件捆绑、网页挂马、下载器下载等方式进行传播。病毒主要目的是下载病毒木马。当用户计算机感染此木马病毒后,会出现系统无故报错,杀毒软件自动退出无法启动,并且发现未知进程等现象.
感染对象
windows 2000/windows xp/windows 2003/windows vista/ windows 7
传播途径
文件捆绑、网页挂马、下载器下载
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1)
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现木马"trojan-downloader.win32.geral.u”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
未安装微点主动防御软件的手动解决办法:
1)手动删除文件
1.删除 %programfiles%\rav目录
2.删除 %temp%\ cc3188937.exe
3.删除 %systemroot%\system32\jsseting.data
4. 删除 %systemroot%\system32\drivers\ cctest.sys
5, 删除 %systemroot%\temp\explorer.exe
2)手动删除注册表
1.删除
hkey_local_machine\system\currentcontrolset\services\cctest
名称:imagepath
数据:system32\drivers\cctest.sys
2.删除
hkey_local_machine\software\microsoft\windows\currentversion\run
数据:kav
值:c:\windows\system32\kav.exe
3)用正常文件替换以下文件:
%systemroot%\system32\drivers\etc\hosts
变量声明:
%systemdriver% 系统所在分区,通常为“c:\”
%systemroot% windodws所在目录,通常为“c:\windows”
%documents and settings% 用户文档目录,通常为“c:\documents and settings”
%temp% 临时文件夹,通常为“c:\documents and settings\当前用户名称\local settings\temp”
%programfiles% 系统程序默认安装目录,通常为:“c:\programfiles”
病毒分析:
1.病毒创建互斥体变量名:“gcgcd.”,防止程序多次运行。
2.病毒获得windows路径,比较病毒本身是否注入到"c:\windows\explorer.exe"进程中,如果注入成功,则将"c:\windows\system32\drivers\gm.dls"文件,拷贝到"c:\windows\temp\"目录下,并重新命名为:“explorer.exe”,然后运行加载之。
3.如果不成功,则病毒获得windows路径,在该目录下建立文件"c:\windows\5717.mp4",执行该命令行“reg.exe”,“import c:\windows\5717.mp4”以及将“policyagent”服务(管理 ip 安全策略以及启动 isakmp/oakley 和 ip 安全驱动程序)的启动方式改为“auto”.先执行停止“policyagent”服务"stop policyagent",然后在开启“policyagent”服务"start policyagent"。病毒执行完该服务后,删除"c:\windows\5717.mp4"等文件。
4.病毒在该目录下“c:\program files\rav”,释放“cctest.inf”,” cctest.sys” ,分别加载该配置文件和驱动文件,建立服务项,释放“c:\windows\system32\drivers\ cctest.sys”文件,修改注册表项:
hkey_local_machine\system\currentcontrolset\services\cctest
名称:imagepath
数据:system32\drivers\cctest.sys
5,病毒释放“c:\program files\rav\cctest.dll”等文件,然后以testall为参数加载之, 查找安全软进程件,找到以后杀掉安全软件进程。
6,病毒在临时文件下释放%temp?906921.exe(随机名)并加载运行,提升自身为sedebugprivilege权限,修改用户hosts文件,将网卡地址发到指定的网站,从指定网址下载大量病毒木马到本地运行. 屏蔽大量ip地址,使用户无法访问部分网站,释放病毒文件c:\windows\system32\jsseting.data并加载运行之,成功后删除c:\windows\system32\jsseting.data。
8,病毒创建驱动文件c:\windows\system32\drivers\pcidump.sys,注入explorer.exe并感染c:\windows\system32\drivers\gm.dls.成功后删除pcidump.sys文件及相关的服务。
9,病毒将自身重命名为c:\windows\system32\kav.exe.并修改注册表信息:
hkey_local_machine\software\microsoft\windows\currentversion\run
数据:kav
值:c:\windows\system32\kav.exe
实现自启动。
病毒创建文件:
%systemroot%\temp\explorer.exe
%systemroot%\5717.mp4
%programfiles%\rav\cctest.inf
%programfiles%\rav\cctest.sys
%programfiles%\rav\cctest.dll
%systemroot%\system32\drivers\ cctest.sys
%temp%\ cc3188937.exe(随机名)
%systemroot%\system32\jsseting.data
%systemroot%\system32\drivers\pcidump.sys
%systemroot%\system32\kav.exe
病毒创建注册表:
hkey_local_machine\software\microsoft\windows\currentversion\run
数据:kav
值:c:\windows\system32\kav.exe
hkey_local_machine\system\currentcontrolset\services\cctest
名称:imagepath
数据:system32\drivers\cctest.sys
病毒访问网络:
http://mc12.m*****.com:18888/56/tj.asp
http://cq.ww*****.com:18182/c/host.txt
