木马下载器
trojan-downloader.win32.antiav.f
捕获时间
2010-8-24
危害等级
中
病毒症状
该样本是使用“c”编写的木马程序,由微点主动防御软件自动捕获,采用“upack”加壳方式试图躲避特征码扫描,加壳后长度为“30,617”字节,图标为“”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播,病毒主要目的是下载大量病毒并运行。
用户中毒后,会出现网络缓慢、杀毒软件无故退出或失效,出现大量未知进程、windows系统运行缓慢和无故报错等现象。
感染对象
windows 2000/windows xp/windows 2003/windows vista/ windows 7
传播途径
文件捆绑、网页挂马、下载器下载
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1)
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现木马"trojan-downloader.win32.antiav.f”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
未安装微点主动防御软件的手动解决办法:
1、拷贝相同版本的正常文件替换以下被修改文件:
%systemroot%\system32\drivers\etc\hosts
%systemroot%\system32\userinit.exe
2、手动删除以下文件:
%systemroot%\system32\scvhost.exe
x:\recycle.{645ff040-5081-101b-9f08-00aa002f954e}\kav32.exe(x为磁盘盘符)
x:\autorun.inf(x为磁盘盘符)
%systemroot%\extext11607390t.exe(随机命名)
3、手动删除注册表项:
hkey_local_machine\software\microsoft\windows\currentversion\run
名称:rstray
数据:c:\windows\system32\scvhost.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\
下属所有映像劫持
变量声明:
%systemdriver% 系统所在分区,通常为“c:\”
%systemroot% windodws所在目录,通常为“c:\windows”
%documents and settings% 用户文档目录,通常为“c:\documents and settings”
%temp% 临时文件夹,通常为“c:\documents and settings\当前用户名称\local settings\temp”
%programfiles% 系统程序默认安装目录,通常为:“c:\programfiles”
病毒分析
(1) 病毒打开记事本程序,查找其窗口。若存在则发送关闭命令,以此检验系统运行环境是否正常。
(2) 调用命令行,禁用eset nod32的服务项,并结束相关进程:
“cmd /c sc config ekrn start= disabled”
“cmd.exe /c taskkill.exe /im ekrn.exe /f”
“cmd.exe /c taskkill.exe /im egui.exe /f”
(3) 获取系统路径,创建文件:%systemroot%\ee3402343t.dll(随机命名)。成功后创建进程,调用rundll32.exe以testall为参数来加载该动态链接库文件。
(4) %systemroot%\ee3402343t.dll获取自身自身权限信息,并将自身权限提升为sedebugprivilege权限。
(5) 调用sfc_os.dll库中的五号函数,解除windows系统保护。成功后替换%systemroot%\system32\drivers\路径下的正常系统驱动文件asyncmac.sys和aec.sys
(6)%systemroot%\system32\drivers\aec.sys恢复ssdt来解除安全软件建立的系统钩子。%systemroot%\system32\drivers\asyncmac.sys则用来从驱动层结束安全软件进程。
(7)查找大量安全软件进程,一旦发现则立即结束。完成后建立所有查找的安全软件的映像劫持。查找的安全软件有:“360delays.exe”“kswebshield.exe”“rssafety.exe”“liveupdate360.exe”“mpmon.exe”“mpsvc2.exe”“regguide.exe”“rfwsrv.exe”“drupdate.exe”“qqdoctorrtp.exe”“kwatch.exe”“uplive.exe”“kavstart.exe”“udaterui.exe”“mctray.exe”“shstat.exe”“ccsvchst.exe”“xcommsvr.exe”“vsserv.exe”“livesrv.exe”“bdagent.exe”“mcinsupd.exe”“mcshell.exe”“framewor.exe”“kservice.exe”“vstskmgr.exe”“mcagent.exe”“mcnasvc.exe”“mcmscsvc.exe”“mcsysmon.exe”“mfevtps.exe”“mcupdmgr.exe”“vptray.exe”“ccapp.exe”“rtvscan.exe”“defwatch.exe”“ccevtmgr.exe”“ccsetmgr.exe”“kvsrvxp.exe”“kpfw32.exe”“engineserver.exe”“kavstart.exe”“kmailmon.exe”“kpfwsvc.exe”“kissvc.exe”“mpsvc1.exe”“mpsvc.exe”“mpfsrv.exe”“naprdmgr.exe”“rsnetsvr.exe”“mcshield.exe”“mcproxy.exe”“qqdoctor.exe”“agentsvr.exe”“ravscanfrm.exe”“rstray.exe”“ravstub.exe”“ccenter.exe”“ravtask.exe”“ravmond.exe”“ravmon.exe”“egui.exe”“mfeann.exe”“rsagent.exe”“ekrn.exe”“antiarp.exe”“360tray.exe”“360safebox.exe”“safeboxtray.exe”“avp.exe”
对应的映像劫持路径为:
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\
8) 删除所有开机启动项,
(9) 病毒源程序等待进程执行,执行完毕后删除%systemroot%\ee3402343t.dll文件
(10)创建线程,获取本地磁盘盘符并查看磁盘属性,发现本地磁盘或可移动存储器则创建文件夹x:\recycle.{645ff040-5081-101b-9f08-00aa002f954e}\(x为磁盘盘符)并伪装成回收站,属性为只读系统隐藏。完成后将自身以kav32.exe为名称复制到该目录下。同时在磁盘根目录下创建x:\autorun.inf(x为磁盘盘符), 属性为只读系统隐藏,使得用户一旦打开对应磁盘,系统便会自动运行病毒程序。
(11) 病毒调用命令行关闭windows安全控制中心和intemet连接共享和防火墙服务。对应命令为:
“cmd /c net stop wscsvc”
“cmd /c net stop sharedaccess”
“cmd /c sc config sharedaccess start= disabled”
(12) 病毒创建文件%systemroot%\extext11607390t.exe(随机命名),创建成功后运行该程序。
(13) extext11607390t.exe创建名为“xettett......”的互斥体以免重复运行。提升自身权限,将%systemroot%\system32\scvhost.exe设为开机启动项。对应注册表值为:
hkey_local_machine\software\microsoft\windows\currentversion\run
名称:rstray
数据:c:\windows\system32\scvhost.exe
(14) 创建线程,从指定网址下载文档替换%systemroot%\system32\drivers\etc\hosts文件,用以屏蔽大量安全软件网址。
(15) 创建线程,连接黑客指定网站,并将用户系统版本网卡mac地址等信息发送到该网站数据库中。
(16) 访问指定网址,下载大量病毒程序并运行。
(17) 病毒源程序获取系统路径,创建驱动文件%systemroot%\system32\drivers\pcidump.sys,完成后将其加载为服务项。将extext11607390t.exe的地址写入%systemroot%\system32\userinit.exe文件的地址空间,感染userinit.exe文件。之后,删除pcidump.sys和对应服务项
(18) 病毒将自身复制为%systemroot%\system32\scvhost.exe
(19) 病毒在自己所在路径下创建批处理文件x:\_temp.bat(x为病毒源程序所在路径),完成后运行该批处理删除病毒源程序和批处理自身。
病毒创建文件:
%systemroot%\ee3402343t.dll(随机命名)
%systemroot%\system32\drivers\aec.sys
%systemroot%\system32\drivers\asyncmac.sys
x:\recycle.{645ff040-5081-101b-9f08-00aa002f954e}\kav32.exe(x为磁盘盘符)
x:\autorun.inf(x为磁盘盘符)
%systemroot%\extext11607390t.exe(随机命名)
%systemroot%\system32\drivers\etc\hosts
%systemroot%\system32\drivers\pcidump.sys
%systemroot%\system32\scvhost.exe
x:\_temp.bat(x为病毒源程序所在路径)
病毒删除文件:
%systemroot%\ee3402343t.dll(随机命名)
%systemroot%\system32\drivers\aec.sys
%systemroot%\system32\drivers\asyncmac.sys
%systemroot%\system32\drivers\pcidump.sys
x:\_temp.bat(x为病毒源程序所在路径)
病毒创建注册表:
hkey_local_machine\system\currentcontrolset\services\aec
hkey_local_machine\system\currentcontrolset\services\asyncmac
hkey_local_machine\system\currentcontrolset\services\pcidump
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\avp.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\safeboxtray.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\360safebox.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\360tray.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\antiarp.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\ekrn.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\rsagent.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\mfeann.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\egui.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\ravmon.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\ravmond.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\ravtask.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\ccenter.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\ravstub.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\rstray.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\rsscanfrm.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\agentsvr.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\qqdoctor.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\mcproxy.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\mcshield.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\rsnetsvr.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\naprdmgr.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\mpfsrv.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\mpsvc.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\mpsvc1.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\kissvc.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\kpfwsvc.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\kmailmon.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\kavstart.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\engineserver.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\kpfw32.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\kvsrvxp.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\ccsetmgr.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\ccevtmgr.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\defwatch.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\rtvscan.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\ccapp.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\vptray.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\mcupdmgr.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\mfevtps.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\mcsysmon.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\mcmscsvc.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\mcnasvc.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\mcagent.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\vstskmgr.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\frameworkservice.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\mcshell.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\mcinsupd.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\bdagent.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\livesrv.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\vsserv.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\xcommsvr.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\ccsvchst.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\shstat.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\mctray.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\udaterui.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\kavstart.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\uplive.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\kwatch.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\qqdoctorrtp.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\drupdate.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\rfwsrv.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\regguide.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\mpsvc2.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\mpmon.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\liveupdate360.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\rssafety.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\kswebshield.exe
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\360delays.exe
hkey_local_machine\software\microsoft\windows\currentversion\run
名称:rstray
数据:c:\windows\system32\scvhost.exe
病毒删除注册表:
hkey_local_machine\system\currentcontrolset\services\aec
hkey_local_machine\system\currentcontrolset\services\asyncmac
hkey_local_machine\system\currentcontrolset\services\pcidump
hkey_local_machine\software\microsoft\windows\currentversion\run\(被清空)
病毒访问网络:
http://vv.kk***s.info:27788/qvod/host.txt
http://tj19.x9***s.com:2787/g1/tj.asp
http://xxx.fr***8888.com:26677/***.exe