木马下载器
trojan-downloader.win32.geral.cfh
捕获时间
2010-12-07
危害等级
中
病毒症状
该样本是使用“c/c ”编写的木马程序,由微点主动防御软件自动捕获,采用“upx”加壳方式试图躲避特征码扫描,加壳后长度为“25,088”字节,图标为“”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播,病毒主要目的是下载病毒到本地运行。
用户中毒后,会出现杀毒软件无故关闭,系统运行缓慢,出现大量可以进程等现象。
感染对象
windows 2000/windows xp/windows 2003/windows vista/ windows 7
传播途径
文件捆绑、网页挂马、下载器下载
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知间谍”,请直接选择删除处理(如图1)
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现木马"trojan-downloader.win32.geral.cfh”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
未安装微点主动防御软件的手动解决办法:
1.结束可疑进程,并结束以下进程:
scvhost.exe
807062.exe(随机命名)
2.清空临时文件夹%temp%并删除以下文件:
%systemroot%\system32\scvhost.exe
3.用正常的hosts文件替换%systemroot%\system32\drivers\etc\hosts
4.删除以下注册表值:
hkey_local_machine\software\microsoft\windows\currentversion\run
名称:360soft
数据:c:\windows\system32\scvhost.exe
变量声明:
%systemdriver% 系统所在分区,通常为“c:\”
%systemroot% windodws所在目录,通常为“c:\windows”
%documents and settings% 用户文档目录,通常为“c:\documents and settings”
%temp% 临时文件夹,通常为“c:\documents and settings\当前用户名称\local settings\temp”
%programfiles% 系统程序默认安装目录,通常为:“c:\programfiles”
病毒分析
(1)病毒创建名为“tgmae...”,避免重复运行。
(2)获取自身路径,查看自身是否注入到%systemroot%\explorer.exe中运行。
(3)若不是则获取自身运行进程句柄,提升自身权限。获取进程快照,查找ekrn.exe的进程。
(4)若发现则通过sc命令关闭并删除ekrn服务项。同时使用taskkill结束ekrn.exe和egui.exe两个进程。
(5)获取临时目录,并读取自身资源,创建动态链接库文件%temp%\800750.dll(随机命名)
(6)病毒从命令行启动系统文件%systemroot%\system32\rundll32.exe,使其以“testall”为参数,加载%temp%\800750.dll
(7)%temp%\800750.dll获取系统路径,释放驱动文件%systemroot%\fonts\pci.sys
(8)成功后创建名为“acde”的服务项,加载该驱动文件并启动服务项。对应注册表项为:
hkey_local_machine\system\currentcontrolset\services\acde
名称:imagepath
数值:\??\c:\windows\fonts\pci.sys
hkey_local_machine\system\controlset001\services\acde
名称:imagepath
数值:\??\c:\windows\fonts\pci.sys
(9)建立设备“\\.\bbqqaacc”,利用该设备与驱动文件%systemroot%\fonts\pci.sys通信,试图从驱动层结束安全软件进程。完成后删除该驱动文件和对应的服务项注册表项
(10)病毒获取系统路径,创建文件%systemroot%\system32\807062.exe(随机命名),并启动该程序
(11)完成后病毒释放另一个驱动文件%systemroot%\system32\drivers\pcidump.sys,并为其创建注册表项,使其加载为名为“pcidump”的服务项。对应注册表项为:
hkey_local_machine\system\currentcontrolset\services\pcidump
名称:imagepath
数值:\??\c:\windows\system32\drivers\pcidump.sys
hkey_local_machine\system\controlset001\services\pcidump
名称:imagepath
数值:\??\c:\windows\system32\drivers\pcidump.sys
(12)%systemroot%\system32\drivers\pcidump.sys会调用系统文件%systemroot%\system32\drivers\gm.dls将病毒注入到桌面进程%systemroot%\explorer.exe中运行。
(13)成功后病毒删除pcidump的服务项及驱动文件%systemroot%\system32\drivers\pcidump.sys
(14)病毒将自身复制为%systemroot%\system32\scvhost.exe伪装为系统文件。
(15)病毒在自身目录下创建批处理文件x\kl78a.bat(x为病毒所在目录),该批处理删除病毒和批处理。
(16)%temp%\807062.exe创建名为“xettett......”的互斥量,避免重复运行。
(17)完成后提升自身权限,获取临时文件路径,将系统文件%systemroot%\system32\wininet.dll复制为%temp%\ope1.tmp,并读取其中函数
(18)创建注册表值,将病毒复制得到的%systemroot%\system32\scvhost.exe加载为开机启动项。对应的注册表值为:
hkey_local_machine\software\microsoft\windows\currentversion\run
名称:360soft
数据:c:\windows\system32\scvhost.exe
(19)创建线程,反复获取窗口标题,一旦发现“windows 文件保护”的标题就自动点击“确定”按钮。
(20)创建线程,到指定网址获取hosts文件,替换本地的%systemroot%\system32\drivers\etc\hosts文件,以实现对安全软件相关网站的屏蔽。
(21)创建线程,将本机mac地址和系统版本等信息发送至指定统计网站。
(22)到指定网址下载病毒列表到本地,并启动这些病毒。
病毒创建文件:
%temp%\800750.dll(随机命名)
%systemroot%\fonts\pci.sys
%temp%\807062.exe(随机命名)
%systemroot%\system32\drivers\pcidump.sys
x\kl78a.bat(x为病毒所在目录)
%systemroot%\system32\scvhost.exe
病毒删除文件:
%systemroot%\fonts\pci.sys
%systemroot%\system32\drivers\pcidump.sys
x\kl78a.bat(x为病毒所在目录)
病毒替换文件:
%systemroot%\system32\drivers\etc\hosts
病毒创建注册表:
hkey_local_machine\system\currentcontrolset\services\acde
名称:imagepath
数值:\??\c:\windows\fonts\pci.sys
hkey_local_machine\system\controlset001\services\acde
名称:imagepath
数值:\??\c:\windows\fonts\pci.sys
hkey_local_machine\system\currentcontrolset\services\pcidump
名称:imagepath
数值:\??\c:\windows\system32\drivers\pcidump.sys
hkey_local_machine\system\controlset001\services\pcidump
名称:imagepath
数值:\??\c:\windows\system32\drivers\pcidump.sys
hkey_local_machine\software\microsoft\windows\currentversion\run
名称:360soft
数据:c:\windows\system32\scvhost.exe
hkey_local_machine\system\currentcontrolset\services\acde
hkey_local_machine\system\controlset001\services\acde
hkey_local_machine\system\currentcontrolset\services\pcidump
hkey_local_machine\system\controlset001\services\pcidump
病毒访问网络:
http://ad.****.info:72/hosts.txt
http://count.dn***.info:88/count.asp
http://ad.****.info:72/ad.txt
http://dl.****.info:66/ac01.js
http://dl.****.info:66/ac02.js
http://dl.****.info:66/ac03.js
http://dl.****.info:66/ac04.js
http://dl.****.info:66/ac05.js
http://dl.****.info:66/ac06.js
http://dl.****.info:66/ac07.js
http://dl.****.info:66/ac08.js
http://dl.****.info:66/ac09.js
http://dl.****.info:66/ac10.js
http://dl.****.info:66/ac11.js
http://dl.****.info:66/ac12.js
http://dl.****.info:66/ac13.js
http://dl.****.info:66/ac14.js
http://dl.****.info:66/ac15.js
http://dl.****.info:66/ac16.js
http://dl.****.info:66/ac17.js
http://dl.****.info:66/ac18.js
http://dl.****.info:66/ac19.js
http://dl.****.info:66/ac20.js
http://dl.****.info:66/ac21.js
http://dl.****.info:66/ac22.js
http://dl.****.info:66/ac23.js
http://dl.****.info:66/ac24.js
http://dl.****.info:66/ac25.js
http://dl.****.info:66/ac26.js
http://dl.****.info:66/ac27.js
http://dl.****.info:66/ac28.js
http://dl.****.info:66/ac29.js
http://dl.****.info:66/ac30.js |
