捕获时间
2009-1-1
病毒摘要
该样本是使用“vc”编写的木马程序,由微点主动防御软件自动捕获,采用“upack”加壳方式,企图躲过特征码扫描,长度为“39,252 字节”,图标为“”,病毒扩展名为“exe”,主要通过“网页挂马”、“文件捆绑”、“诱骗用户点击”等方式传播,病毒主要目的通过多种手段赚取广告流量。
感染对象
windows 2000/windows xp/windows 2003
传播途径
网页木马、文件捆绑、诱骗用户点击
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知间谍软件”,请直接选择删除处理(如图1);
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"trojan.win32.agent.abxz”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取ag旗舰厅首页的技术支持。
3、开启windows自动更新,及时打好漏洞补丁。
病毒分析
该样本程序被执行后,将遍历进程,查找是否存在“avp.exe”,若存在则释放批处理文件“gokaba.bat”至“%systemroot%\system32”文件夹,修改系统时间至“1987年10月18日”,批处理内容如下:
|
@echo off
set date=趖e%
date 1987-10-18
ping -n 45 localhost > nul
date 趖e%
del %0 |
|
样本将利用批处理“ping -n 45 localhost > nul” 达到延时目的,延时完成后系统时间将被调回正常。期间将复制自身至“%systemroot%\system32”文件夹,重命名为“a135ded4.exe”,复制自身至“%systemroot%\system32”文件夹,重命名为“a135ded4t.exe”,修改注册表,将“a135ded4.exe”设置为服务,相关注册表项如下:
|
键:“[hkey_local_machine\system\currentcontrolset\services\a135ded4]”
值:“type”
数据:“service_win32_own_process”
值:“start”
数据:“service_auto_start”
值:“imagepath”
数据:“c:\windows\system32\a135ded4.exe –service”
值:“displayname”
数据:“a135ded4” |
|
完成后样本将以参数“–service”启动“a135ded4.exe”,删除“gokaba.bat”,并生成批处理“delme.bet”实现自删除,相关批处理如下:
|
@echo off
:selfkill
del /f /q "c:\sample.exe"
exist "c:\sample.exe" goto selfkill
del %0 |
|
“a135ded4.exe”启动后将生成动态库文件“a135ded4.dll”至文件夹“%systemroot%\system32”,申请空间将动态库文件“a135ded4.dll”注入至“winlogon.exe”并启动一线程。
“winlogon.exe” 将申请空间将动态库文件“a135ded4.dll”注入至“explorer.exe”并启动一线程。访问网址:“http://www.zh****u8.com/chajian/update.txt”下载升级程序。
病毒将锁定ieag旗舰厅首页主页,弹出各类广告窗口,劫持百度搜索引擎,实用户点击搜索结果时跳转至黑客指定的广告页面,并以隐藏方式安装“alexa工具条”,遍历qq、淘宝旺旺、msn等聊天软件窗口,利用模拟点击方式发送广告信息,使用户主机不断出现广告,运行缓慢。
|