木马下载器
trojan-downloader.win32.agent.bnfv
捕获时间
2010-12-02
危害等级
中
病毒症状
该样本是使用“c/c ”编写的木马程序,由微点主动防御软件自动捕获,长度为“6,768”字节,图标为“”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播,病毒主要目的是下载病毒木马至本机运行。
用户中毒后,会出现系统运行缓慢、存在大量未知可疑进程、系统重要资料丢失等现象。
感染对象
windows 2000/windows xp/windows 2003/windows vista/ windows 7
传播途径
文件捆绑、网页挂马、下载器下载
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1)
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现木马"trojan-downloader.win32.agent.bnfv”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
未安装微点主动防御软件的手动解决办法:
1.手动结束进程calc.exe,之后结束路径为%systemroot%\tasks\下的conime.exe进程以及其他的可疑进程
2.将正常注册表值导入到以下注册表路径处:
hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon
名称:userinit
数值:c:\windows\system32\userinit.exe,c:\windows\tasks\conime.exe
3.手动删除以下文件:
%systemroot%\tasks\conime.exe
变量声明:
%systemdriver% 系统所在分区,通常为“c:\”
%systemroot% windodws所在目录,通常为“c:\windows”
%documents and settings% 用户文档目录,通常为“c:\documents and settings”
%temp% 临时文件夹,通常为“c:\documents and settings\当前用户名称\local settings\temp”
%programfiles% 系统程序默认安装目录,通常为:“c:\programfiles”
病毒分析
(1)病毒获取自身路径,与预先存入路径对比,查看自身路径是否为系统计划任务目录%systemroot%\tasks中
(2)若不是则说明是首次运行,病毒删除%systemroot%\tasks\conime.exe,以免影响自身运行。
(3)修改注册表项,以实现开机自启动。对应注册表值为:
hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon
名称:userinit
数值:c:\windows\system32\userinit.exe,c:\windows\tasks\conime.exe
(4)完成后将自身复制为%systemroot%\tasks\conime.exe,以实现隐藏。
(5)成功后以隐藏窗口模式启动%systemroot%\tasks\conime.exe
(6)病毒通过命令行以隐藏窗口模式打开计算器进程calc.exe,写入内存对计算器进程实现注入,用以监控病毒进程是否存在。一旦病毒进程被结束则重新启动病毒。
(7)%systemroot%\tasks\conime.exe启动后,读取自身资源,从指定网址下载病毒列表到本地,存储为%systemdriver%\boot
(8)通过读取%systemdriver%\boot列表中的网址下载病毒文件到本机并运行,完成后删除%systemdriver%\boot
(9)发送本机mac地址和系统版本至黑客指定网址以便进行感染统计。
(10)建立循环,每隔20分钟重新获取列表并下载病毒,如是循环6次之后结束自身进程。
病毒创建文件:
%systemroot%\tasks\conime.exe
%systemdriver%\boot
病毒删除文件:
%systemdriver%\boot
病毒修改注册表:
hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon
名称:userinit
数值:c:\windows\system32\userinit.exe,c:\windows\tasks\conime.exe
病毒访问网络:
http://www.playn***o.com/d.txt
http://nishi***.004.sz***.com/count/count.asp