伪装输入法
trojan-downloader.win32.geral.g
捕获时间
2010-4-21
危害等级
中
病毒症状
该样本是使用“visual c /c”编写的木马下载器,由微点主动防御软件自动捕获。长度为“35,840”字节,图标为“
”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“移动存储介质”等方式传播。病毒主要目的是下载安装病毒木马。
用户中毒后,会出现出现网络异常连接,安全软件无故退出,系统输入法中出现未知输入法,发现大量未知进程等现象。
感染对象
windows 2000/windows xp/windows 2003/windows vista/ windows 7
传染途径
网页挂马、文件捆绑、下载器下载
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知后门程序“,请直接选择删除处理(如图1);
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现木马"trojan-downloader.win32.geral.g”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
未安装微点主动防御软件的手动解决办法:
1.手动删除以下文件:
%systemroot%\system32\winner.ime
%systemroot%\system\pciaz.sys
%systemroot%\fonts\nhr.ini
2.手动删除以下注册表:
hkey_current_user\keyboard layout\preload
删除注册表hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options下的映像劫持项
变量声明:
%systemdriver% 系统所在分区,通常为“c:\”
%systemroot% windodws所在目录,通常为“c:\windows”
%documents and settings% 用户文档目录,通常为“c:\documents and settings”
%temp% 临时文件夹,通常为“c:\documents and settings\当前用户名称\local settings\temp”
%programfiles% 系统程序默认安装目录,通常为:“c:\programfiles”
病毒分析:
1.病毒运行后,释放病毒文件%systemroot%\system32\winner.ime,并修改其创建时间,设置为系统隐藏属性。
2.加载运行winner.ime,创建进程快照,查找以下进程kavstart.exe、kav32.exe、mctray.exe、rtvscan.exe、mcshield.exe。如果找到则打开该进程,获取退出代码退出该进程。
3.加载系统库文件获取相关函数,将winner.ime作为输入法文件安装在本地机器上。获取并激活键盘布局,建立注册表项hkey_current_user\keyboard layout\preload记录信息。更改用户默认的输入法为新安装的输入法。使用户使用输入法时便会加载病毒文件运行。启动进程explorer.exe并激活输入法运行病毒。
4.检查自身所在的模块如果注入安全软件中则退出自身。
5.如果自身在explorer.exe中运行则创建线程执行相关功能。释放病毒文件到%systemroot%\system\pciaz.sys.打开服务管理器,创建名为pcif的服务加载运行该驱动文件提升自身权限,遍历进程查找以下进程“360tray.exe”,“ekrn.exe”,“egui.exe”,“nod32krn.exe”,“nod32kui.exe”,“360safe.exe”,“safeboxtray.exe”,“360safebox.exe”,“krnl360svc.exe”,“zhudongfangyu.exe”,“rstray.exe”,“ravmond.exe”,“360sd.exe”,“avp.exe”,“360rp.exe”,“kavstart.exe”,“kwatch.exe”,“kswebshield.exe”,“mcshield.exe” 如果发现则传入驱动关闭安全软件进程,并试图从注册表读取安全软件安装路径,并传入驱动,破坏安全软件文件,成功后删除驱动文件。
6.创建线程创建线程,监视窗口名字,如果发现是icesword则关闭该程序。创建线程循环向注册表写入数据劫持大量安全软件进程。创建线程,病毒运行一段时间后从指定网址下载包含病毒文件地址的加密配置文件到%systemroot%\fonts\nhr.ini,并解密出该文件中的网址信息,从该指定网址下载大量未知病毒木马运行。
病毒创建文件:
%systemroot%\system32\winner.ime
%systemroot%\system\pciaz.sys
%systemroot%\fonts\nhr.ini
病毒创建注册表:
hkey_current_user\keyboard layout\preload
病毒访问网络:
http://s.dba**.com/s.txt
