东方微点-yb体育官方

  yb体育官方  
yb体育官方-yb亚博全站首页  |  微点新闻  |  业界动态  |  安全资讯  |   |   |  网络版yb亚博全站首页
 |   |   |   |   |   |  各地代理商
 

木马下载器trojan-downloader.win32.patched.bg
来源:  2008-12-02 16:42:31



捕获时间

2008-12-2

病毒摘要

该样本是使用“delphi”编写的下载器,由微点主动防御软件自动捕获,未加壳,长度为“86,421 字节”,图标为,病毒扩展名为“exe”,主要通过“网页木马”、“文件捆绑”等方式传播,病毒主要从网络下载木马至本地运行。



感染对象


windows 2000/windows xp/windows 2003

传播途径

网页木马、文件捆绑

防范措施

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);


          图1 主动防御自动捕获未知病毒(未升级)



如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"trojan-downloader.win32.patched.bg”,请直接选择删除(如图2)。


          图2   升级后截获已知病毒



对于未使用微点主动防御软件的用户,微点反病毒专家建议
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取yb亚博全站首页的技术支持。
3、开启windows自动更新,及时打好漏洞补丁。

病毒分析

  该样本程序被执行后,访问网络下载文件“ http://dd7.te***l.info/not.exe ”,保存至“%systemdrive%\not.exe”,并将其运行,修改系统“beep.sys”文件,成功后启动“beep”服务实现对“beep”服务的替换,驱动加载后恢复系统ssdt表,使部分安全软件的主动防御功能失效,达到自身保护的目的,成功后关闭此服务,恢复“beep.sys”文件。

  修改注册表,设置隐藏文件,禁止windows自动更新,禁止任务管理器,相关注册表项如下:

  
项:“ey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall\”
  键:“heckedvalue”
  数据:“0”
  项:“hkey_current_user\software\microsoft\windows\currentversion\policies\system\”
  键:“disabletaskmgr”
  数据:“0x00000001”
  项:“hkey_current_user\software\microsoft\windows\currentversion\policies\system\”
  键:“disablewindowsupdateaccess”
  数据:“0x00000001”


  尝试将提权至“sedebugprivilege”遍历窗口,强制关闭包含以下字串进程:

  冰刃
  icesword
  杀软
  syscheck
  瑞星
  木马
  绿鹰
  卫士
  autorun
  system

  遍历下列进程,发现则发送消息通信使其关闭:

  360hotfix.exe
  360rpt.exe
  360safe.exe
  360safebox.exe
  360tray.exe
  adam.exe
  agentsvr.exe
  antiarp.exe
  appsvc32.exe
  arvmon.exe
  autoguarder.exe
  autoruns.exe
  avgrssvc.exe
  avmonitor.exe
  avp.com
  avp.exe
  ccenter.exe
  ccsvchst.exe
  filedsty.exe
  findt2005.exe
  ftcleanershell.exe
  hijackthis.exe
  icesword.exe
  iparmo.exe
  iparmor.exe
  ishelp.exe
  ispwdsvc.exe
  kabaload.exe
  kascrscn.scr
  kasmain.exe
  kastask.exe
  kav32.exe
  kavdx.exe
  kavpfw.exe
  kavsetup.exe
  kavstart.exe
  killhidepid.exe
  kislnchr.exe
  kmailmon.exe
  kmfilter.exe
  kpfw32.exe
  kpfw32x.exe
  kpfwsvc.exe
  kregex.exe
  krepair.com
  ksloader.exe
  kvcenter.kxp
  kvdetect.exe
  kvfw.exe
  kvfwmcl.exe
  kvmonxp.kxp
  kvmonxp_1.kxp
  kvol.exe
  kvolself.exe
  kvreport.kxp
  kvscan.kxp
  kvsrvxp.exe
  kvstub.kxp
  kvupload.exe
  kvwsc.exe
  kvxp.kxp
  kvxp_1.kxp
  kwatch.exe
  kwatch9x.exe
  kwatchx.exe
  loaddll.exe
  magicset.exe
  mcconsol.exe
  mmqczj.exe
  mmsk.exe
  navsetup.exe
  nod32krn.exe
  nod32kui.exe
  pfw.exe
  pfwliveupdate.exe
  qhset.exe
  qqdoctor.exe
  ras.exe
  rav.exe
  ravcopy.exe
  ravmon.exe
  ravmond.exe
  ravstore.exe
  ravstub.exe
  ravt08.exe
  ravtask.exe
  regclean.exe
  rfwcfg.exe
  rfwmain.exe
  rfwolusr.exe
  rfwproxy.exe
  rfwsrv.exe
  rsagent.exe
  rsaupd.exe
  rstray.exe
  runiep.exe
  safebank.exe
  safeboxtray.exe
  safelive.exe
  scan32.exe
  shcfg32.exe
  smartassistant.exe
  smartup.exe
  sreng.exe
  srengps.exe
  symlcsvc.exe
  syscheck.exe
  syscheck2.exe
  syssafe.exe
  toolsup.exe
  trojandetector.exe
  trojanwall.exe
  trojdie.kxp
  uihost.exe
  umxagent.exe
  umxattachment.exe
  umxcfg.exe
  umxfwhlp.exe
  umxpol.exe
  uplive.exe
  wopticlean.exe
  zxsweep.exe
  修复工具.exe

  关闭后修改注册表对其进程映像劫持至“ntsd -d”。
  将自身复制至系统目录“%systemroot%\system32”文件夹内,重命名为“s.exe”, 利用setfileattributes函数将自身属性设置为“隐藏”、“系统”,以参数“s”启动“s.exe”。
释放批处理文件“sigou.bat”至目录“%temp%”并执行,实现自删除,批处理如下:

  
  @echo off
  :gougou
  del "c:\documents and settings\administrator\桌面\trojan-downloader.win32.patched.exe" /a
  if exist "c:\documents and settings\administrator\桌面\trojan-downloader.win32.patched.exe" goto gougou
  del %0 /a
  cls


  运行“svchost.exe”, 申请内存空间写入一段病毒代码,注入“svchost.exe”,修改注册表,删除用户安全模式,相关注册表如下:

  
  hkey_local_machine\system\currentcontrolset\control\safeboot\minimal\{4d36e967-e325-11ce-bfc1-08002be10318}
  hkey_local_machine\system\currentcontrolset\control\safeboot\network\{4d36e967-e325-11ce-bfc1-08002be10318}


  若主机未联网,样本将复制自身至“%systemdrive%”目录,重命名为“s.exe”, 利用setfileattributes函数将自身属性设置为“隐藏”、“系统”,并设置“autorun.inf”,使用户双击系统盘后病毒启动,“autorun.inf”如下:

  
  [autorun]
  open=s.exe
  shell\open=打开(&o)
  shell\open\command=s.exe
  shell\open\default=1
  shell\explore=资源管理器(&x)
  shell\explore\command=s.exe


  下载的“not.exe”为一后门程序,可以对用户主机进行远程监控,文件盗取,密码窃取等恶意操作,会造成用户隐私泄露,计算机异常,系统损坏等严重后果。

免费体验
下  载

网站地图