流氓下载器
trojan-downloader.win32.startpage.k
捕获时间
2010-9-07
危害等级
中
病毒症状
该样本是使用“c/c ”编写的木马程序,由微点主动防御软件自动捕获,长度为“66,560”字节,图标为“”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播,病毒主要目的是下载并运行广告程序。
用户中毒后,会出现系统运行缓慢,出现大量未知进程,桌面出现可疑图标,弹出广告窗口,ag旗舰厅首页主页被篡改等现象。
感染对象
windows 2000/windows xp/windows 2003/windows vista/ windows 7
传播途径
文件捆绑、网页挂马、下载器下载
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“可疑程序”,请直接选择删除处理(如图1)
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现木马"trojan-downloader.win32.startpage.k”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
未安装微点主动防御软件的手动解决办法:
1、在任务管理器中找到进程228.tmp,找到其路径,并结束该进程
2、手动删除以下注册表项:
hkey_local_machine\system\currentcontrolset\services\dmcon
名称:imagepath
数据:\??\c:\windows\drvpt.sys
hkey_local_machine\software\classes\.je
hkey_local_machine\software\classes\je\
hkey_local_machine\software\classes\.ie
hkey_local_machine\software\classes\ie\
hkey_local_machine\software\classes\clsid\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\shell\
3、导入以下注册表项:
hkey_local_machine\software\classes\clsid\{20d04fe0-3aea-1069-a2d8-08002b30309d}\shell\open\command\
hkey_local_machine\software\classes\clsid\{e17d4fc0-5564-11d1-83f2-00a0c90dc850}
hkey_local_machine\software\classes\clsid\
{1f4de370-d627-11d1-ba4f-00a0c91eedba}
hkey_local_machine\software\classes\clsid\{20000000-0000-0000-0000-000000000000}
hkey_local_machine\software\microsoft\windows\
currentversion\explorer\desktop\namespace\
{1f4de370-d627-11d1-ba4f-00a0c91eedba}
hkey_local_machine\software\classes\clsid\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\instance\initpropertybag
4、将以下注册表项中的数据改回原数据:
hkey_local_machine\software\classes\clsid\{871c5380-42a0-1069-a2ea-08002b30309d}\shell\openhomepage\command
原数据:c:\program files\internet explorer\iexplore.exe
新数据:c:\program files\internet explorer\iexplore.exe http://dh.765321.info?1127311
hkey_local_machine\software\classes\clsid\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\defaulticon
原数据:%systemroot%\explorer.exe,-253
新数据:c:\program files\internet explorer\iexplore.exe
5、手动删除以下文件:
x\228.tmp(x为病毒所在路径)
%systemroot%\system32\tbhdz.ico
%systemroot%\drvpt.sys
%systemroot%\vb.ini
%systemroot%\vc.ini
%documents and settings%\administrator\application data\microsoft\internet explorer\quick launch\internet explorer.ie
%documents and settings%\all users\桌面\internet explorer.ie
%documents and settings%\all users\桌面\淘宝网.je
6、使用磁盘修复工具修复磁盘主引导区
变量声明:
%systemdriver% 系统所在分区,通常为“c:\”
%systemroot% windodws所在目录,通常为“c:\windows”
%documents and settings% 用户文档目录,通常为“c:\documents and settings”
%temp% 临时文件夹,通常为“c:\documents and settings\当前用户名称\local settings\temp”
%programfiles% 系统程序默认安装目录,通常为:“c:\programfiles”
病毒分析
(1) 病毒获取自身文件名,将自身改名为228.tmp。完成后将属性设置为系统隐藏。
(2) 病毒建立线程。与“\\.\physicaldrive0”通道建立连接以直接写入磁盘。
(3) 病毒写入磁盘主引导区,使病毒程序能够在开机后先于操作系统启动。
(4) 获取病毒源程序当前所在目录,在该目录下创建x\nat.exe和x\ali.exe(x为病毒所在路径),并生成淘宝图标文件%systemroot%\system32\tbhdz.ico
(5) 设置x\ali.exe属性为系统隐藏,并运行。x\ali.exe读取自身资源,创建驱动文件%systemroot%\drvpt.sys,并创建名为“dmcon”的服务项加载该驱动文件。
(6) x\ali.exe遍历进程,查找“360safe”、“360tray”、“360sd”,一旦发现,则创建通道“\\.\tesdrvpt”,通过该通道向驱动文件发送控制消息,从驱动层结束其进程。
(7) 完成后,病毒源程序删除x\ali.exe
(8) 病毒运行x\nat.exe,并结束自身进程。
(9) x\nat.exe创建线程,查找自身目录下名为228.tmp的病毒源程序。找到后将其删除,并将自身命名为228.tmp并设置为系统隐藏属性。
(10) x\nat.exe创建线程,从指定网址下载配置文件到本地并存储为%systemroot%\vb.ini,并将其属性设置为系统隐藏。完成后访问指定网址。提交用户信息。
(11)x\nat.exe创建线程,读取配置文件%systemroot%\vb.ini,从其指向的网址下载程序并执行。
(12)x\nat.exe创建线程,建立名为“..tc..”的互斥量以免重复运行。从指定网址下载配置文件到本地并存储为%systemroot%\vc.ini,通过读取配置信息访问指定网络并弹出广告窗口。
(13)x\nat.exe创建线程,提升自身权限。修改注册表,在桌面创建多个广告图标。并将系统设置为不显示隐藏文件并隐藏文件扩展名。
(14)创建名为“lockie..”的互斥量,创建进程快照并查找各种主流浏览器的进程,一旦发现则注入浏览器,打开指定网址。
病毒创建文件:
x\nat.exe(x为病毒所在路径)
x\ali.exe(x为病毒所在路径)
%systemroot%\system32\tbhdz.ico
%systemroot%\drvpt.sys
x\228.tmp(x为病毒所在路径)
%systemroot%\vb.ini
%systemroot%\vc.ini
%documents and settings%\administrator\application data\microsoft\internet explorer\quick launch\internet explorer.ie
%documents and settings%\all users\桌面\internet explorer.ie
%documents and settings%\all users\桌面\淘宝网.je
病毒删除文件:
x\ali.exe(x为病毒所在路径)
x\nat.exe(x为病毒所在路径)
病毒创建注册表:
hkey_local_machine\system\currentcontrolset\services\dmcon
名称:imagepath
数据:\??\c:\windows\drvpt.sys
hkey_local_machine\software\classes\.je
数据:je
hkey_local_machine\software\classes\je\defaulticon
数据:c:\windows\system32\tbhdz.ico
hkey_local_machine\software\classes\je\shell\open\command
数据:c:\program files\internet explorer\iexplore.exe http://www.laitao.info
hkey_local_machine\software\classes\.ie
数据:ie
hkey_local_machine\software\classes\ie\defaulticon
数据:shdoclc.dll,0
hkey_local_machine\software\classes\ie\shell\open\command
数据:c:\program files\internet explorer\iexplore.exe http://dh.765321.info?1127311
hkey_local_machine\software\classes\clsid\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\shell\openhomepage\command
数据:c:\program files\internet explorer\iexplore.exe http://dh.765321.info?1127311
病毒删除注册表:
hkey_local_machine\software\classes\clsid\
{20d04fe0-3aea-1069-a2d8-08002b30309d}\shell\open\command\
hkey_local_machine\software\classes\clsid\{e17d4fc0-5564-11d1-83f2-00a0c90dc850}
hkey_local_machine\software\classes\clsid\{1f4de370-d627-11d1-ba4f-00a0c91eedba}
hkey_local_machine\software\classes\clsid\ {20000000-0000-0000-0000-000000000000}
hkey_local_machine\software\microsoft\windows\currentversion\explorer\desktop\
namespace\{c42eb5a1-0eed-e549-91b0-153485866016}
hkey_local_machine\software\microsoft\windows\currentversion\explorer\desktop\
namespace\{20000000-0000-0000-0000-000000000000}
hkey_local_machine\software\microsoft\windows\currentversion\explorer\desktop\
namespace\{1f4de370-d627-11d1-ba4f-00a0c91eedba}
hkey_local_machine\software\classes\clsid\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\instance\initpropertybag
病毒修改注册表:
hkey_local_machine\software\classes\clsid\{871c5380-42a0-1069-a2ea-08002b30309d}\shell\openhomepage\command
原数据:c:\program files\internet explorer\iexplore.exe
新数据:c:\program files\internet explorer\iexplore.exe http://dh.765321.info?1127311
hkey_local_machine\software\classes\clsid\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\defaulticon
原数据:%systemroot%\explorer.exe,-253
新数据:c:\program files\internet explorer\iexplore.exe
病毒访问网络:
http://dh.76***1.info?1127311
http://2.76***1.info:4321/sms/xxx5.ini
http://2.76***1.info:4321/sms/do.php?userid=000c2920a928&time=2010-8-12_16:44:16&msg=01704800520364&pauid=1127311
http://2.76***1.info:4321/sms/count.php?userid=000c2920a928
http://download.c***en.cn/setup/v5/c***en_setup_100201.exe
http://download.p***ve.com/p***(p***ve)jixia***13459_s.exe
http://60.173.10.28:4321/y***ao***t_ma***ng.101.exe
http://2.76***1.info:4321/sms/xxx01.ini
http://js.cn***.com/ato.asp?webuserid=44669&did=83928&subid=0&exid=0&adid=0&encode=
4xfhxebjpi1n1rv5yxtzkrdseu7 prcrmigqgv8d04qlfo5zlvafwg==&et=1
http://union1.5***n.com/union2/gg.do?action=click&a=22918&b=3730&c=66
http://union1.5***n.com/union2/gg.do?action=click&a=22918&b=3730&c=63