东方微点-ag旗舰厅首页

  ag旗舰厅首页  
ag旗舰厅首页-ag亚洲国际厅  |  微点新闻  |  业界动态  |  安全资讯  |   |   |  网络版ag旗舰厅首页
 |   |   |   |   |   |  各地代理商
 

木马下载者trojan-downloader.win32.geral.cky

木马下载者

trojan-downloader.win32.geral.cky

捕获时间

2011-04-28

危害等级



病毒症状

  该样本是使用“c/c ”编写的木马程序,由微点主动防御软件自动捕获,采用"nspack"加壳方式试图躲避特征码扫描,加壳后长度为“38,957”字节,图标为“”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播,病毒主要目的是结束本机杀软,下载大量病毒到本机运行。
  用户中毒后,会出现系统运行缓慢、存在大量未知可疑进程、杀软无故关闭及无法启动、系统重要资料丢失等现象。

感染对象

windows 2000/windows xp/windows 2003/windows vista/ windows 7

传播途径

文件捆绑、网页挂马、下载器下载

防范措施

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知间谍”,请直接选择删除处理(如图1)

 

图1 微点主动防御软件自动捕获未知病毒(未升级)



如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现木马"trojan-downloader.win32.geral.cky”,请直接选择删除(如图2)。

 

图2   微点主动防御软件升级后截获已知病毒



未安装微点主动防御软件的手动解决办法:

1.手动清空本机临时文件夹。
2.删除以下注册表项,并删除指向的可执行文件:
hkey_local_machine\software\microsoft\windows\currentversion\run
名称:updater
数据:c:\windows\system32\updater.exe
3.对全盘进行病毒查杀。

变量声明:

%systemdriver%       系统所在分区,通常为“c:\”
%systemroot%        windodws所在目录,通常为“c:\windows”
%documents and settings%  用户文档目录,通常为“c:\documents and settings”
%temp%           临时文件夹,通常为“c:\documents and settings\当前用户名称\local settings\temp”
%programfiles%       系统程序默认安装目录,通常为:“c:\programfiles”

病毒分析

1.该样本运行后,获取自身进程id,通过创建本机进程快照获取自身进程的父进程id。
2.获取本机系统目录路径,在系统目录下释放动态链接库文件"killdll.dll"。
3.创建进程运行系统文件"rundll32.exe",通过附加命令的方式运行动态链接库文件"killdll.dll",接着休眠一段时间。
4.动态链接库文件"killdll.dll"被加载运行后,将自身进程提权到"sedebugprivilege"权限。
5.接着创建进程快照,查找进程名为"ccenter.exe"(瑞星杀软进程名),若该进程存在则删除系统文件"%systemroot%\system32\drivers\asyncmac.sys",从"killdll.dll"模块资源中释放同名驱动文件,并创建服务加载该驱动,实现在底层结束一些流行杀软进程,同时通过运行命令方式关闭杀软所注册的服务;若"ccenter.exe"进程不存在,通过删除系统文件"%systemroot%\system32\drivers\aec.sysaec.sys",释放同名驱动文件并加载,实现关闭杀软的目的;最后并将释放的驱动文件删除。
6.获取本机临时目录文件夹,在该目录下释放可执行文件"~frm.exe"并运行。
7."~frm.exe"运行后获取自身文件路径,比较自身是否为"%systemroot%\system32\userinit.exe"。
8.若是则运行系统文件"%systemroot%\explorer.exe",接着执行步骤10。
9.若不是则添加开机启动注册表项,指向"%systemroot%\system32\updater.exe"对应以下注册表项:
hkey_local_machine\software\microsoft\windows\currentversion\run
名称:updater
数据:c:\windows\system32\updater.exe
10.查找名为"ttxoobbaaccdd"的全局原子,若存在则退出程序,不存在则创建该全局原子,防止程序重复运行。
11.在本机目录下释放名为"tmp.tmp"动态链接库文件,并创建名为"gametexett.."的文件映射对象,用于远进程间的通讯。
12.创建进程运行系统文件"%systemroot%\system32\svchost.exe",并将动态链接库文件"tmp.tmp"注入到该进程中运行。
13."~frm.exe"最后获取本机网卡信息,通过"收信空间"的方式将本机网卡信息发送给黑客,用以统计病毒感染统计。
14.动态链接库文件"tmp.tmp"被加载运行后,打开名为"gametexett.."的文件映射对象,从中获取加密的下载地址信息。
15.从下载地址下载文本文件到本机临时目录下,并更名为"pctools.tmp"。
16.打开文本文件"pctools.tmp",从中获取大量病毒下载地址,下载病毒到本机临时目录文件夹下,更名为"xxxxx_xeex.exe"格式的名字,并运行。
17.释放驱动文件"system32\drivers\pcidump.sys",创建服务加载该驱动,该驱动加载后,修改系统文件"%systemroot%\system32\userint.exe",实现"~frm.exe"文件的开机启动,完成后停止并删除驱动文件"pcidump.sys"。
18.最后在本机临时文件夹下创建批处理文件"_undelme.bat",删除病毒源文件及自身批处理。

病毒创建文件:

%systemroot%\system32\killdll.dll
%systemroot%\system32\drivers\asyncmac.sys
%systemroot%\system32\drivers\aec.sysaec.sys
%systemroot%\system32\updater.exe
%temp%\~frm.exe
%temp%\tmp.tmp
%temp%\pctools.tmp
%temp%\_undelme.bat

病毒删除文件:

%systemroot%\system32\killdll.dll
%systemroot%\system32\drivers\asyncmac.sys
%systemroot%\system32\drivers\aec.sysaec.sys
%temp%\_undelme.bat

病毒修改注册表:

hkey_local_machine\software\microsoft\windows\currentversion\run
名称:updater
数据:c:\windows\system32\updater.exe
hkey_local_machine\system\controlset001\services\pcidump
名称:imagepath
数据:c:\windows\system32\drivers\pcidump.sys
hkey_local_machine\system\controlset001\services\
名称:imagepath
数据:c:\windows\system32\drivers\asyncmac.sys
hkey_local_machine\system\controlset001\services\
名称:imagepath
数据:c:\windows\system32\drivers\aec.sysaec.sys

病毒访问网络:

http://www.ec***.asp?mac=00c029caae9c&xxx****
http://20.p***u.com:7***/1***.txt
http://xi***.pp***.com:7***/b***/d**.exe
http://xi***.pp***.com:7***/b***/rk02.exe
http://xi***.pp***.com:7***/b***/rk03.exe
http://xi***.pp***.com:7***/b***/wen***.exe
http://xi***.pp***.com:7***/b***/rk05.exe
http://xi***.pp***.com:7***/b***/qq.exe
http://xi***.pp***.com:7***/b***/rk06.exe
http://xi***.pp***.com:7***/b***/rk07.exe
http://xi***.pp***.com:7***/b***/rk08.exe
http://xi***.pp***.com:7***/b***/rk09.exe
http://xi***.pp***.com:7***/b***/rk10.exe
http://xi***.pp***.com:7***/b***/rk11.exe
http://xi***.pp***.com:7***/b***/rk12.exe
http://xi***.pp***.com:7***/b***/rk13.exe
http://xi***.pp***.com:7***/b***/r***.exe
http://xi***.pp***.com:7***/b***/rk15.exe
http://xi***.pp***.com:7***/b***/rk16.exe
http://xi***.pp***.com:7***/b***/rk17.exe
http://xi***.pp***.com:7***/b***/rk18.exe
http://xi***.pp***.com:7***/b***/rk19.exe
http://xi***.pp***.com:7***/b***/rk22.exe
http://xi***.pp***.com:7***/b***/rk24.exe
http://xi***.pp***.com:7***/b***/rk25.exe
http://xi***.pp***.com:7***/b***/g***.exe

免费试用
下  载

网站地图