木马下载者
trojan-downloader.win32.small.agsy
捕获时间
2012-02-26
危害等级
中
病毒症状
该样本是使用“microsoft visual c 6.0”编写的“木马下载器”,由微点主动防御软件自动捕获,长度为“25,024”字节,图标为“”,使用“exe”扩展名,通过文件捆绑、网页挂马、下载器下载等方式进行传播,病毒主要目的是指引用户计算机到黑客指定的url地址去下载更多的病毒或木马后门文件并运行。
用户中毒后会出现电脑的运行速度变慢,杀软无故退出而不能启动,出现大量未知进程等现象。
感染对象
windows 2000/windows xp/windows 2003/windows vista/ windows 7
传播途径
文件捆绑、网页挂马、下载器下载
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1)
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现木马"trojan-downloader.win32.small.agsy ”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
未安装微点主动防御软件的手动解决办法:
手动删除以下文件:
%systemroot%\qedie\conime.exe
%temp%\18672577.gif(文件名随机)
%systemroot%\qedir\felaxega.exe(文件名随机)
%systemroot%\qedir\vbyjhivh.exe(文件名随机)
%systemroot%\qedir\rhrouxib.exe(文件名随机)
%systemroot%\qedir\yhelxael.exe(文件名随机)
%systemroot%\qedir\rhdfrqka.exe(文件名随机)
%systemroot%\qedir\savwruvh.exe(文件名随机)
手动删除注册表项:
项:hkey_local_machine\software\microsoft\active setup\installed components\{aengfu3aa-b933-11d2-9cbd-0000f87a369e}
键:hkey_local_machine\software\microsoft\active setup\installed components\{aengfu3aa-b933-11d2-9cbd-0000f87a369e}\stubpath
变量声明:
%systemdriver% 系统所在分区,通常为“c:\”
%systemroot% windodws所在目录,通常为“c:\windows”
%documents and settings% 用户文档目录,通常为“c:\documents and settings”
%temp% 临时文件夹,通常为“c:\documents and settings\当前用户名称\local settings\temp”
%programfiles% 系统程序默认安装目录,通常为:“c:\programfiles”
病毒分析:
1、创建一个名为"与他sdadasdasxsaxsad2324343fdsfdsgrrhthtu76656"的事件,以创建一个新的进程的方式打开样本。
2、判断样本路径是否为"c:\windows\qedie\conime.exe",如果不是,则创建"c:\program files\933.txt"文件,保存样本的完整路径名。
3、在系统目录下创建“c:\windows\qedie\”文件夹,将样本复制为"c:\windows\qedie\conime.exe"。写入一些空字符,以改变文件的大小。
4、"c:\windows\qedie\conime.exe"运行后,解析出网址http://sms.***.com:81/fc/01.gif,创建名为"xlxndxs"的互斥体,防止文件二次运行。
5、创建两个线程,第一个线程:打开"c:\program files\933.txt",读取样本路径,然后将该文件和样本删除。
6、第二个线程:创建注册表项" hkey_local_machine\software\microsoft\active setup\installed components\{aengfu3aa-b933-11d2-9cbd-0000f87a369e}",创建键名为stubpath键值为c:\windows\qedie\conime.exe的键,以达到开机自启动的目的。
7、打开网络连接:http://sms.***.com:81/fc/01.gif,获取数据写入"c:\docume~1\admini~1\locals~1\temp\18672577.gif",从该文件中获取字符串,供解密下载木马的链接之用。
8、为存放下载的木马创建一个新的文件夹"c:\windows\qedir\"。
9、遍历窗口,获取窗口的标题,分别对比“数据包”、“辐络军刀”、“抓包”、“监听”、“酷抓”、“嗅探”、“捕获”、“幽狗”、“监视”、“嗅觉”、“niff”、“网络探手”、“wpe”、“远程桌面”、“version”、“expert”、“pack”、“analyzer”、“winnetcap”、“封包”、“wireshark”、“木马辅”、“任务管理器”,若找到,则等待2秒,再重复查找,直到用户关闭相关窗口。
10、创建"c:\windows\qedir\felaxega.exe"(文件名随机),从http://121.10.***:88/cc/101.exe下载数据保存到该文件中,以创建进程的方式运行。
11、重复13、14两个步骤,分别从http://121.10.**:88/tt/16.exe下载"c:\windows\qedir\vbyjhivh.exe"(文件名随机),从http://121.10.***:88/tt/18.exe下载c:\windows\qedir\rhrouxib.exe"(文件名随机),从http://121.10.***:88/tt/26.exe下载"c:\windows\qedir\yhelxael.exe"(文件名随机), 从http://121.10.***:88/tt/29.exe下载"c:\windows\qedir\rhdfrqka.exe"(文件名随机), 从http://121.10.***:88/cc/01.exe下载"c:\windows\qedir\savwruvh.exe"(文件名随机),分别以创建进程的方式运行。
12、将"c:\docume~1\admini~1\locals~1\temp\18672577.gif"文件删除。
13、获取本机的mac地址,获取用用户标识符,创建进程快照获取当前进程的数量,将信息发送到指定网址。
14、创建一个新的线程,循环删除该样本所下载的木马文件。
15、等待90分钟后,重复步骤11~18的动作。
病毒创建文件:
%systemroot%\qedie\conime.exe
%programfiles%\933.txt
%temp%\18672577.gif(文件名随机)
%systemroot%\qedir\felaxega.exe(文件名随机)
%systemroot%\qedir\vbyjhivh.exe(文件名随机)
%systemroot%\qedir\rhrouxib.exe(文件名随机)
%systemroot%\qedir\yhelxael.exe(文件名随机)
%systemroot%\qedir\rhdfrqka.exe(文件名随机)
%systemroot%\qedir\savwruvh.exe(文件名随机)
病毒创建注册表:
项:hkey_local_machine\software\microsoft\active setup\installed components\{aengfu3aa-b933-11d2-9cbd-0000f87a369e}
键:hkey_local_machine\software\microsoft\active setup\installed components\{aengfu3aa-b933-11d2-9cbd-0000f87a369e}\stubpath
病毒删除文件:
%programfiles%\933.txt
%temp%\18672577.gif(文件名随机)
样本自身文件
病毒访问网络:
http://sms.***.com:81/fc/01.gif
http://121.10.***:88/cc/101.exe
http://121.10.***:88/tt/16.exe
http://121.10.***:88/tt/18.exe
http://121.10.***:88/tt/26.exe
http://121.10.***:88/tt/29.exe
http://121.10.***:88/cc/01.exe