捕获时间
2009-1-2
病毒摘要
该样本是使用“delphi”编写的木马下载器程序,由微点主动防御软件自动捕获,采用“nspack”加壳方式试图躲避特征码扫描,加壳后长度为“37,223字节”,图标为“”,使用“exe”扩展名,通过“网页木马”、“文件捆绑”途径植入用户计算机,运行后联网下载其他木马到本地运行。
感染对象
windows 2000/windows xp/windows 2003
传播途径
网页木马、文件捆绑
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"trojan-downloader.win32.losabel.sa”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取ag旗舰厅首页的技术支持。
3、开启windows自动更新,及时打好漏洞补丁。
病毒分析
该样本程序被执行后,创建名为“av love av av av av av”的互斥体,防止程序的再次调用,尝试修改如下360安全卫士相关键值,实现关闭其实时监控来保护自身:
|
项:hklm\software\360safe\safemon
键: execaccess
指向数据:0
键: monaccess
指向数据:0
键: leakshowed
指向数据:0
键: siteaccess
指向数据:0
键: udiskaccess
指向数据:0
键: weeken
指向数据:0 |
|
将%systemroot%\system32\drivers\目录下“beep.sys”文件读到内存缓冲区作备份,并释放病毒驱动文件“sbl.sys”到此目录下,调用api函数关闭“beep服务”,拷贝病毒驱动“sbl.sys”为“beep.sys”,并使用相关api函数启动“beep服务”以加载病毒驱动。驱动加载成功后,恢复ssdt,使部分杀毒软件安全监控失效。后该样本使用api函数“deletefilea”删除病毒驱动文件“sbl.sys”,并将内存缓冲区备份的原系统文件“beep.sys”进行回写,恢复系统“beep.sys” 文件,实现此病毒驱动的隐藏,遍历查找下列指定的安全进程,找到后尝试关闭该安全进程,实现自身的保护:
|
ravmond.exe
ravmon.exe
rav.exe
ravtask.exe
ravstub.exe
ccenter.exe
360rpt.exe
360safe.exe
360tray.exe
rfw.exe |
|
不断遍历枚举窗口,尝试发送“wm_close”、“wm_destroy”、“wm_quit”消息实现关闭含有下列关键字的窗体来保护自身:
|
防火墙
杀毒
江民
金山
木马
firewall
virus
anti
超级巡警
nod32
安全
瑞星
抓包
监视
sniffer
嗅探
debug
ida
fly
主线程
微点
优化
专杀 |
|
拷贝自身到系统目录%systemroot%\下,名称为“system32stopaor.exe”,添加如下相关注册表项实现自身随机启动:
|
项:hklm\software\microsoft\windows\currentversion\policies\explorer\run
键:xmouie
指向数据:%systemroot%\system32stopaor.exe |
|
修改下列的注册表键值实现不显示隐藏文件,企图隐藏木马:
|
项:hkcu\software\microsoft\windows\currentversion\explorer\advanced”
键:hidden
指向数据:2
项:hklm\ software \microsoft\windows\currentversion\explorer\advanced\folder
\hidden\showall
键:checkedvalue
指向数据:0 |
|
在注册表hklm\software\microsoft\windows nt\currentversion\image file execution options\下添加下列项,达到劫持大部分安全软件的目的:
|
360safe.exe
adffgh785v.exe
360tray.exe
adam.exe
agentsvr.exe
appsvc32.exe
autoruns.exe
avgrssvc.exe
avmonitor.exe
avp.com
avp.exe
ccenter.exe
ccsvchst.exe
filedsty.exe
ftcleanershell.exe
hijackthis.exe
icesword.exe
iparmo.exe
iparmor.exe
ispwdsvc.exe
kabaload.exe
kascrscn.scr
kasmain.exe
kastask.exe
kav32.exe
kavdx.exe
kavpfw.exe
kavsetup.exe
kavstart.exe
kislnchr.exe
kmailmon.exe
kmfilter.exe
kpfw32.exe
kpfw32x.exe
kpfwsvc.exe
kregex.exe
krepair.com
ksloader.exe
kvcenter.kxp
kvdetect.exe
kvfwmcl.exe
kvmonxp.kxp
kvmonxp_1.kxp
kvol.exe
kvolself.exe
kvreport.kxp
kvsrvxp.exe
kvstub.kxp
kvupload.exe
kvwsc.exe
kvxp.kxp
kwatch.exe
kwatch9x.exe
kwatchx.exe
loaddll.exe
magicset.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
navsetup.exe
nod32krn.exe
nod32kui.exe
pfw.exe
pfwliveupdate.exe
qhset.exe
ras.exe
rav.exe
ravmon.exe
ravmond.exe
ravstub.exe
ravtask.exe
regclean.exe
rfwcfg.exe
rfwmain.exe
rfwproxy.exe
rfwsrv.exe
rsagent.exe
rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
shcfg32.exe
smartup.exe
sreng.exe
symlcsvc.exe
syssafe.exe
trojandetector.exe
trojanwall.exe
trojdie.kxp
uihost.exe
umxagent.exe
umxattachment.exe
umxcfg.exe
umxfwhlp.exe
umxpol.exe
uplive.exe
wopticlean.exe
zxsweep.exe
sos.exe
auto.exe
ufo.exe
autorun.exe
xp.exe
taskmgr.exe
guangd.exe
appdllman.exe
kernelwind32.exe
logogo.exe
tnt.exe
sdgames.exe
txomou.exe
guangd.exe
cross.exe
sdgames.exe
regedit.exe
regedit32.exe
wsyscheck.exe
servet.exe
discovery.exe
pagefile.exe
pagefile.pif
niu.exe
~.exe
aoyun.exe
键值均为:debugger
数据均指向:%systemroot%\system32stopaor.exe |
|
调用api函数“urldownloadtofilea”,把下列指定的木马列表文件保存到目录%systemroot%\system32\下,名称为“contxt.dat”:
|
http://b***u.bbtu001.com/ma/si.txt |
|
读取木马列表配置文件“contxt.dat”,下载大量木马并在下载后调用运行木马,读完配置文件后,调用api函数“deletefilea”删除此“contxt.dat”配置文件,通过枚举注册表得到“iexplore.exe”的路径,后台调用该浏览器访问下列指定网址进行访问次数统计
|
http:// b***u.bbtu001.com/htm/w62.htm |
|