捕获时间
2009-6-3
病毒症状
该样本是使用“vc”编写的木马下载器,由微点主动防御软件自动捕获,采用“upx”加壳方式,企图躲避特征码扫描,加壳后长度为“39,944 字节”,图标为“
”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播,病毒主要目的为下载大量病毒并运行。
用户中毒后,会出现安全软件无故关闭,网络运行缓慢,出现大量未知进程,windows系统无故报错等现象。
感染对象
windows 2000/windows xp/windows 2003
传播途径
网页木马、文件捆绑、下载器下载
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现" trojan-downloader.win32.geral.hd”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、使用相同版本文件替换%systemroot%\system32\userinit.exe
2、手动删除以下文件:
%systemroot%\extext12881062t.exe
%systemroot%\system32\scvhost.exe
3、手动删除以下注册表值:
键:hkey_local_machine\system\currentcontrolset\services\aec
键:hkey_local_machine\system\currentcontrolset\services\asyncmac
键:hkey_local_machine\software\microsoft\windows\currentversion\run\
值:rstray
数据:%systemroot%\system32\scvhost.exe
变量声明:
%systemdriver% 系统所在分区,通常为“c:\”
%systemroot% windodws所在目录,通常为“c:\windows”
%documents and settings% 用户文档目录,通常为“c:\documents and settings”
%temp% 临时文件夹,通常为“c:\documents and settings\当前用户名称\local settings\temp”
%programfiles% 系统程序默认安装目录,通常为:“c:\programfiles”
病毒分析
(1)动态获取病毒所需api
(2)停止ekrn服务,结束ekrn.exe和egui.exe进程
(3)释放动态库,并加载,遍历进程,如果发现ccenter.exe,kavstart.exe和avp.exe进程,停止进程进程相关服务,关闭相关进程,如果发现avp.exe进程,释放驱动文件恢复ssdt,结束如下安全软件进程,删除所有注册表启动项目,删除动态库文件,删除驱动文件:
avp.exe
safeboxtray.exe
360safebox.exe
360tray.exe
antiarp.exe
ekrn.exe
rsagent.exe
mfeann.exe
egui.exe
ravmon.exe
ravmond.exe
ravtask.exe
ccenter.exe
ravstub.exe
rstray.exe
scanfrm.exe
rav.exe
agentsvr.exe
ccenter.exe
qqdoctor.exe
mcproxy.exe
mcshield.exe
rsnetsvr.exe
naprdmgr.exe
mpfsrv.exe
mpsvc.exe
mpsvc1.exe
kissvc.exe
kpfwsvc.exe
kmailmon.exe
kavstart.exe
engineserver.exe
kpfw32.exe
kvsrvxp.exe
ccsetmgr.exe
ccevtmgr.exe
defwatch.exe
rtvscan.exe
ccapp.exe
vptray.exe
mcupdmgr.exe
mfevtps.exe
mcsysmon.exe
mcmscsvc.exe
mcnasvc.exe
mcagent.exe
vstskmgr.exe
frameworkservice.exe
mcshell.exe
mcinsupd.exe
bdagent.exe
livesrv.exe
vsserv.exe
xcommsvr.exe
ccsvchst.exe
shstat.exe
mctray.exe
udaterui.exe
kavstart.exe
uplive.exe
kwatch.exe
qqdoctorrtp.exe
drupdate.exe
rfwsrv.exe
regguide.exe
mpsvc2.exe
mpmon.exe
(4)释放病毒文件%systemroot%\extext12881062t.exe,并运行
(5)病毒文件首先创建互斥,对比路径,如果发现自己是userinit.exe,运行explorer.exe,设置system32和%temp%目录为everyone完全控制,修改创建注册表实现自启动,访问病毒统计地址,然后下载病毒,并运行
(6)释放驱动文件,创建服务启动,修改userinit.exe,删除服务,删除驱动文件
(7)病毒主程序移动自身为%systemroot%\system32\scvhost.exe,退出进程
病毒创建文件:
%systemroot%\12718906test.dll
%systemroot%\system32\drivers\aec.sys
%systemroot%\system32\drivers\asyncmac.sys
%systemroot%\extext12881062t.exe
%systemroot%\system32\drivers\pcidump.sys
%systemroot%\system32\scvhost.exe
病毒修改文件:
%systemroot%\system32\userinit.exe
病毒删除文件:
%systemroot%\12718906test.dll
%systemroot%\system32\drivers\aec.sys
%systemroot%\system32\drivers\asyncmac.sys
%systemroot%\system32\drivers\pcidump.sys
病毒创建注册表:
hkey_local_machine\system\currentcontrolset\services\aec
hkey_local_machine\system\currentcontrolset\services\asyncmac
hkey_local_machine\system\currentcontrolset\services\pcidump hkey_local_machine\software\microsoft\windows\currentversion\run\rstray
病毒删除注册表:
hkey_local_machine\system\currentcontrolset\services\pcidump
hkey_local_machine\software\microsoft\windows\currentversion\run\[所有启动项目]
病毒访问网络:
http://asd***ww.cn/0027/count.asp http://sftvv**w.cn/0027/ttnew.txt
http://loe**uw.cn/nl1.exe
http://loe**uw.cn/nl2.exe
http://loe**uw.cn/nl3.exe
http://loe**uw.cn/nl4.exe
http://loe**uw.cn/nl5.exe
http://loe**uw.cn/nl6.exe
http://loe**uw.cn/nl7.exe
http://loe**uw.cn/nl8.exe
http://loe**uw.cn/nl9.exe
http://loe**uw.cn/nl10.exe
http://loe**uw.cn/nl11.exe
http://loe**uw.cn/nl12.exe
http://loe**uw.cn/nl13.exe
http://loe**uw.cn/nl14.exe
http://loe**uw.cn/nl15.exe
http://loe**uw.cn/nl16.exe
http://loe**uw.cn/nl17.exe
http://loe**uw.cn/nl18.exe
http://loe**uw.cn/nl19.exe
http://loe**uw.cn/nl20.exe
http://loe**uw.cn/nl21.exe
http://loe**uw.cn/nl22.exe
http://loe**uw.cn/nl23.exe
http://loe**uw.cn/nl24.exe
http://loe**uw.cn/nl25.exe
http://loe**uw.cn/nl26.exe
http://loe**uw.cn/nl27.exe
http://loe**uw.cn/nl28.exe
http://loe**uw.cn/nl29.exe
http://loe**uw.cn/nl30.exe
http://loe**uw.cn/nl31.exe
http://loe**uw.cn/nl32.exe
http://loe**uw.cn/nl33.exe
http://loe**uw.cn/nl35.exe
http://loe**uw.cn/nl36.exe
http://loe**uw.cn/nl37.exe
http://loe**uw.cn/nl41.exe
http://loe**uw.cn/nl42.exe
