流氓广告程序
trojan-dropper.win32.bho.a
捕获时间
2010-8-25
危害等级
中
病毒症状
该样本是使用“vb”编写的“流氓广告程序”,由微点主动防御软件自动捕获, 采用“upx”加壳方式,企图躲避特征码扫描,加壳后长度为“54,272”字节,图标为“”,使用“exe”扩展名,通过文件捆绑、网页挂马、下载器下载等方式进行传播。病毒主要目的是修改ieag旗舰厅首页主页,自动点击网页和广告。当用户计算机感染此病毒后,会出现系统无故报错,杀毒软件自动退出无法启动,并且发现大量未知进程等现象。
感染对象
windows 2000/windows xp/windows 2003/windows vista/ windows 7
传播途径
文件捆绑、网页挂马、下载器下载
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1)
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现木马"trojan-dropper.win32.bho.a”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
未安装微点主动防御软件的手动解决办法:
手动删除文件:
1.删除 %systemroot%\xrjr\smss.exe
2.删除 %programfiles%\fazsv\gzvxq.dll
3.删除 %systemroot%\pi\indexs.vbe
4. 删除 %documents and settings%\all users\「开始」菜单\程序\ internt explorer.llnk
5. 删除 %documents and settings%\all users\「开始」菜单\程序\启动\ ie.vbe
6. 删除 %documents and settings%\all users\桌面\ internt explorer.llnk
7. 删除 %documents and settings%\all users\桌面\淘宝购物.tao
手动删除注册表:
1. 删除
hkey_classes_root\clsid\{871c5380-42a0-1069-a2ea-08002b30309a} 等相关选项以及所有与匹配{871c5380-42a0-1069-a2ea-08002b30309a}键值都删除
2. 删除 hkey_local_machine\software\microsoft\windows\currentversion\run
名称:baidu
数据:c:\windows\xrjr\smss.exe
hkey_local_machine\software\microsoft\windows\currentversion\explorer\browser helper objects
\{d7b8814a-8648-4037-a915-6364047bbafa}
名称:缺省
数据:迅雷播放组件
变量声明:
%systemdriver% 系统所在分区,通常为“c:\”
%systemroot% windodws所在目录,通常为“c:\windows”
%documents and settings% 用户文档目录,通常为“c:\documents and settings”
%temp% 临时文件夹,通常为“c:\documents and settings\当前用户名称\local settings\temp”
%programfiles% 系统程序默认安装目录,通常为:“c:\programfiles”
病毒分析:
1.病毒运行后,每隔一定时间自动打开指定网站,然后下载相关病毒文件。
2.病毒创建%systemroot%\xrjr\smss.exe文件,该文件在系统目录下释放%systemroot%\pi\indexs.vbe脚本文件,
3.创建进程快照,遍历安全软件进程 360tray.exe, ravmond.exe, nod32.exe,找到以后退出进程。如果不存在杀毒软件,则修改ie。
4.每5秒检测文件是否被删除,如果被删除就重复创建,当前文件在下次重新启动时删除
5.删除系统默认浏览器快捷方式,修改注册表信息:
hkey_current_user\software\microsoft\windows\currentversion\explorer\hidedesktopicons\newstartpanel
名称:{871c5380-42a0-1069-a2ea-08002b30309d}
数据:1
hkey_current_user\software\microsoft\windows\currentversion\explorer\hidedesktopicons\classicstartmenu
名称:{871c5380-42a0-1069-a2ea-08002b30309d}
数据:1
6. 创建无法删除系统默认浏览器快捷方式,并修改注册表信息:
hkey_local_machine\software\microsoft\windows\currentversion\explorer\desktop\namespace\{871c5380-42a0-1069-a2ea-08002b30309a}
名称:
数据:internet explorer 修改默认ie
hkey_classes_root\clsid\{871c5380-42a0-1069-a2ea-08002b30309a}
名称:
数据:internet explorer
hkey_classes_root\clsid\{871c5380-42a0-1069-a2ea-08002b30309a}\defaulticon
名称:
数据:c:\program files\internet explorer\iexplore.exe,0
hkey_classes_root\clsid\{871c5380-42a0-1069-a2ea-08002b30309a}\inprocserver32
名称:
数据:%systemroot%\system32\shdocvw.dll
hkey_classes_root\clsid\{871c5380-42a0-1069-a2ea-08002b30309a}\shell\openhomepage
名称:
数据:打开ag旗舰厅首页主页(&h)
hkey_classes_root\clsid\{871c5380-42a0-1069-a2ea-08002b30309a}\shell\openhomepage\command
名称:
数据:c:\program files\internet explorer\iexplore.exe http://www.dianxin.cn?330
hkey_classes_root\clsid\{871c5380-42a0-1069-a2ea-08002b30309a}\shell\q\command
名称:
数据:rundll32.exe
hkey_classes_root\clsid\{871c5380-42a0-1069-a2ea-08002b30309a}\shell\属性(&r)\command
名称:
数据:rundll32.exe shell32.dll,control_rundll inetcpl.cpl,,0
hkey_classes_root\clsid\{871c5380-42a0-1069-a2ea-08002b30309a}\shellfolder
名称:attributes
数据:00 00 00 00
7. 修改注册表设置ag旗舰厅首页主页
hkey_current_user\software\microsoft\internet explorer\main
名称:start page
数据:http://www.dianxin.cn?330
8. 删除默认创建快捷方式,创建url类型快捷方式,循环修改所有快捷方式并修改浏览器的启动参数
9. 创建禁止被删除的文件,禁止文件被删除(删除全部权限)并隐藏文件扩展名
10.在启动目录下,创建%documents and settings%\all users\「开始」菜单\程序\启动\ ie.vbe脚本文件。目的是运行生成于系统目录下的文件。并修改注册表信息:
hkey_local_machine\software\microsoft\windows\currentversion\run
名称:baidu
数据:c:\windows\xrjr\smss.exe
以达到自启动目的
11. 增加浏览器链接,增加ie链接,写入信息到注册表
hkey_current_user\software\microsoft\internet explorer\toolbar
名称:linksfoldername
数据:链接
hkey_current_user\software\microsoft\internet explorer\toolbar\explorer
hkey_current_user\software\microsoft\internet explorer\toolbar\shellbrowser
hkey_current_user\software\microsoft\internet explorer\toolbar\webbrowser
12.病毒创建线程自删除
病毒创建文件:
%systemroot%\xrjr\smss.exe
%programfiles%\fazsv\gzvxq.dll
%systemroot%\pi\indexs.vbe
%documents and settings%\all users\「开始」菜单\程序\ internt explorer.llnk
%documents and settings%\all users\「开始」菜单\程序\启动\ ie.vbe
%documents and settings%\all users\桌面\ internt explorer.llnk
%documents and settings%\all users\桌面\淘宝购物.tao
病毒创建注册表:
hkey_classes_root\clsid\{871c5380-42a0-1069-a2ea-08002b30309a}
名称:
数据:internet explorer
hkey_classes_root\clsid\{871c5380-42a0-1069-a2ea-08002b30309a}\defaulticon
名称:
数据:c:\program files\internet explorer\iexplore.exe,0
hkey_classes_root\clsid\{871c5380-42a0-1069-a2ea-08002b30309a}\inprocserver32
名称:
数据:%systemroot%\system32\shdocvw.dll
hkey_classes_root\clsid\{871c5380-42a0-1069-a2ea-08002b30309a}\shell\openhomepage
名称:
数据:打开ag旗舰厅首页主页(&h)
hkey_classes_root\clsid\{871c5380-42a0-1069-a2ea-08002b30309a}\shell\openhomepage\command
名称:
数据:c:\program files\internet explorer\iexplore.exe http://www.dianxin.cn?330
hkey_classes_root\clsid\{871c5380-42a0-1069-a2ea-08002b30309a}\shell\q\command
名称:
数据:rundll32.exe
hkey_classes_root\clsid\{871c5380-42a0-1069-a2ea-08002b30309a}\shell\属性(&r)\command
名称:
数据:rundll32.exe shell32.dll,control_rundll inetcpl.cpl,,0
hkey_classes_root\clsid\{871c5380-42a0-1069-a2ea-08002b30309a}\shellfolder
名称:attributes
数据:00 00 00 00
hkey_local_machine\software\microsoft\windows\currentversion\run
名称:baidu
数据:c:\windows\xrjr\smss.exe
hkey_local_machine\software\microsoft\windows\currentversion\explorer\browser helper objects
\{d7b8814a-8648-4037-a915-6364047bbafa}
名称:缺省
数据:迅雷播放组件
hkey_current_user\software\microsoft\windows\currentversion\explorer\hidedesktopicons\newstartpanel
名称:{871c5380-42a0-1069-a2ea-08002b30309d}
数据:1
hkey_current_user\software\microsoft\windows\currentversion\explorer\hidedesktopicons\classicstartmenu
名称:{871c5380-42a0-1069-a2ea-08002b30309d}
数据:1
hkey_local_machine\software\microsoft\windows\currentversion\explorer\desktop\namespace\{871c5380-42a0-1069-a2ea-08002b30309a}
名称:
数据:internet explorer 修改默认ie
hkey_current_user\software\microsoft\internet explorer\main
名称:start page
数据:http://www.dianxin.cn?330
病毒访问网络:
http://tongji.*****.cn
http://114search.*****.cn/js/common.js
http://114search.*****.cn/css2010/sr.css
http://114search.*****.cn/search_web.htm
http://tongji.******.cn/api/work.aspx?** |
