木马下载器
trojan-downloader.win32.geral.cx
捕获时间
2009-11-10
危害等级
高
病毒症状
该样本是使用“c ”编写的“木马下载程序”,由微点主动防御软件自动捕获,采用“aspack”加壳方式试图躲避特征码扫描,加壳后长度为31,887字节,图标为“
”,使用“ exe”扩展名,通过网页木马、文件捆绑等方式进行传播,病毒主要目的是下载病毒到客户机执行。
用户中毒后,会出现系统以及网络运行缓慢、安全软件关闭、出现未知进程等症状。
感染对象
windows 2000/windows xp/windows 2003/windows vista
传播途径
网页挂马、文件捆绑、下载器下载
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"trojan-downloader.win32.geral.cx”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
未安装微点主动防御软件的手动解决办法:
1、手动删除以下文件:
%systemroot%\aa4805265.exe
%temp%\ope5.tmp
%temp%\ope6.tmp
%temp%\_uok.bat
%systemroot%\system32\scvhost.exe
2、手动删除以下注册表键:
[hkey_local_machine\software\microsoft\windows\currentversion\run]
"360soft"="c:\\windows\\system32\\scvhost.exe"
变量声明:
%systemdriver% 系统所在分区,通常为“c:\”
%systemroot% windodws所在目录,通常为“c:\windows”
%documents and settings% 用户文档目录,通常为“c:\documents and settings”
%temp% 临时文件夹,通常为“c:\documents and settings\当前用户名称\local settings\temp”
%programfiles% 系统程序默认安装目录,通常为:“c:\programfiles”
病毒分析
1、病毒运行后查找控制台窗口,若找到就发送消息,使其退出。
2、创建名称为“tteesstt…”的互斥量,防止多次运行。
3、创建并调用rundll32.exe加载动态库文件aa908406t.dll。
4、在动态库aa908406t.dll中,(1)调整访问令牌,设置自己为sedebugprivilege权限,遍历进程查找360tray.exe,如果找到,就获取进程句柄,枚举进程模块,获取360tray.exe路径,以uninstsp为参数启动360tray.exe。(2)遍历进程查找ccenter.exe,如果找到就获取sfc.#5函数地址,去掉%systemroot%\system32\drivers\asyncmac.sys的系统保护,删除此文件,在目录释放同名文件,创建 asyncmac服务,通过驱动结束其进程。(3)查找并结束大量安全软件进程:
avp.exe
safeboxtray.exe
360safebox.exe
360tray.exe
antiarp.exe
ekrn.exe
rsagent.exe
mfeann.exe
egui.exe
ravmon.exe
ravmond.exe
ravtask.exe
ccenter.exe
rstray.exe
scanfrm.exe
rav.exe
agentsvr.exe
ccenter.exe
qqdoctor.exe
mcproxy.exe
mcshield.exe
rsnetsvr.exe
naprdmgr.exe
mpfsrv.exe
mpsvc.exe
mpfsrv.exe
mpsvc1.exe
kissvc.exe
kpfwsvc.exe
kmailmon.exe
kavstart.exe
engineserver.exe
kpfw32.exe
kvsrvxp.exe
ccsetmgr.exe
ccevtmgr.exe
defwatch.exe
rtvscan.exe
ccapp.exe
rtvscan.exe
vptray.exe
mcupdmgr.exe
mfevtps.exe
mcsysmon.exe
mcmscsvc.exe
mcagent.exe
vstskmgr.exe
frameworkservice.exe
mcshell.exe
mcinsupd.exe
bdagent.exe
livesrv.exe
vsserv.exe
xcommsvr.exe
ccsvchst.exe
shstat.exe
mctray.exe
udaterui.exe
kavstart.exe
uplive.exe
kwatch.exe
qqdoctorrtp.exe
drupdate.exe
rfwsrv.exe
regguide.exe
mpsvc2.exe
mpmon.exe
mpsvc2.exe
liveupdate360.exe
mpmon.exe
mpsvc2.exe
rssafety.exe
egui.exe
kswebshield.exe
360delays.exe
kswebshield.exe
qutmserv.exe
kaccore.exe
360soft.exe
mgrsvc.exe
kaccore.exe
krnl360svc.exe同时删除安全软件相关服务,最后删除驱动文件asyncmac.sys。
5、删除动态库文件aa908406t.dll,创建并执行文件%systemroot%\aa4805265.exe。
6、在aa4805265.exe中,创建名称为“xettett......”互斥量,设置system32和%temp%目录为完全访问,停止wscsvc服务,设置自己为sedebugprivilege权限,复制%systemroot%\system32\wintinet.dll到%temp%目录下重命名为ope5.com,设置注册表启动项,创建线程,每隔50ms查找标题为“windows文件保护”的窗口并设置为隐藏;创建线程,修改hosts文件,访问统计网址。创建线程,下载病毒列表,根据列表下载病毒到本地执行。
7、拷贝自己为scvhost.exe,创建批处理自我删除。
病毒创建文件:
%systemroot%\system32\aa908406t.dll
%systemroot%\aa4805265.exe
%temp%\ope5.tmp
%temp%\ope6.tmp
%temp%\_uok.bat
%systemroot%\system32\scvhost.exe
病毒替换文件:
%systemroot%\system32\drivers\asyncmac.sys
病毒删除文件:
%systemroot%\system32\drivers\asyncmac.sys
%temp%\_uok.bat
%systemroot%\system32\aa908406t.dll
病毒创建注册表:
[hkey_local_machine\software\microsoft\windows\currentversion\run]
"360soft"="c:\\windows\\system32\\scvhost.exe"
病毒访问网络:
http://www.***.net/v9/count.asp
http://cn.***.mobi/aa9uje.txt"
http://009-009.***.org/ww/aa1.exe
http://009-009.***.org/ww/aa2.exe
http://009-009.***.org/ww/aa3.exe
http://009-009.***.org/ww/aa4.exe
http://009-009.***.org/ww/aa5.exe
http://009-009.***.org/ww/aa6.exe
http://009-009.***.org/ww/aa7.exe
http://009-009.***.org/ww/aa8.exe
http://009-009.***.org/ww/aa9.exe
http://009-009.***.org/ww/aa10.exe
http://009-009.***.org/ww/aa11.exe
http://009-009.***.org/ww/aa12.exe
http://009-009.***.org/ww/aa13.exe
http://009-009.***.org/ww/aa14.exe
http://009-009.***.org/ww/aa15.exe
http://009-009.***.org/ww/aa16.exe
http://009-009.***.org/ww/aa17.exe
http://009-009.***.org/ww/aa18.exe
http://009-009.***.org/ww/aa19.exe
http://009-009.***.org/ww/aa20.exe
http://009-009.***.org/ww/aa21.exe
http://009-009.***.org/ww/aa22.exe
http://009-009.***.org/ww/aa23.exe
http://009-009.***.org/ww/aa24.exe
http://009-009.***.org/ww/aa25.exe
http://009-009.***.org/ww/aa26.exe
http://009-009.***.org/ww/aa27.exe
http://009-009.***.org/ww/aa28.exe
http://009-009.***.org/ww/aa29.exe
http://009-009.***.org/ww/aa30.exe
http://009-009.***.org/ww/aa32.exe
http://009-009.***.org/ww/aa33.exe
http://009-009.***.org/ww/aa34.exe
http://009-009.***.org/ww/aa35.exe
http://009-009.***.org/ww/aa36.exe