东方微点-yb体育官方

  yb体育官方  
yb体育官方-yb亚博全站首页  |  微点新闻  |  业界动态  |  安全资讯  |   |   |  网络版yb亚博全站首页
 |   |   |   |   |   |  各地代理商
 

木马下载器trojan-downloader.win32.geral.pu
来源:  2009-07-08 13:21:30

木马下载器

trojan-downloader.win32.geral.pu

捕获时间

2009-7-8

危害等级

2

病毒症状

  该样本是使用“vc”编写的木马程序,由微点主动防御软件自动捕获,采用“upx”加壳方式,企图躲避特征码扫描,加壳后长度为“32,768字节”,图标为“
”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播,病毒主要目的为下载大量病毒并运行。病毒的主要目的是下载大量病毒。
  用户中毒后,会出现网络缓慢、杀毒软件无故退出或失效,出现大量未知进程、windows系统运行缓慢和无故报错等现象。

感染对象

windows 2000/windows xp/windows 2003

传播途径

网页木马、文件捆绑、下载器下载

防范措施

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);


图1 微点主动防御软件自动捕获未知病毒(未升级)



如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现" trojan-downloader.win32.geral.pu”,请直接选择删除(如图2)。


          图2   微点主动防御软件升级后截获已知病毒




未安装微点主动防御软件的手动解决办法:

1、拷贝相同版本的userinit.exe替换%systemroot%\system32\userinit.exe

2、手动删除以下文件:

%systemdriver%\recycle.{645ff040-5081-101b-9f08-00aa002f954e}
%systemroot%\extext12944765t.exe
%systemdriver%\autorun.in
%systemroot%\system32\scvhost.exe


3、手动删除以下注册表键值:

键:hkey_local_machine\system\currentcontrolset\services\asyncmac

键:hkey_local_machine\system\currentcontrolset\services\aec

键:hkey_local_machine\system\currentcontrolset\services\pcidump

键: hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\[镜像劫持]

键: hkey_local_machine\software\microsoft\windows\currentversion\run
值:rstray
数据:%systemroot%\system32\scvhost.exe

变量声明:

  %systemdriver%       系统所在分区,通常为“c:\”
  %systemroot%        windodws所在目录,通常为“c:\windows”
  %documents and settings%  用户文档目录,通常为“c:\documents and settings”
  %temp%           临时文件夹,通常为“c:\documents and settings\当前用户名称\local settings\temp”
  %programfiles%       系统程序默认安装目录,通常为:“c:\programfiles”

病毒分析

(1)病毒首先隐藏执行notepad.exe,然后查找notepad.exe的窗口类句柄,如果找到就发送一个wm_close消息将notepad.exe的窗口退出,如果没找到notepad.exe的窗口类,退出当前进程。
(2)病毒试图停止ekrn服务,并通过调用cmd.exe执行taskkill命令将nod32杀毒软件的ekrn.exe和egui.exe进程终止。释放动态链接库文件tete15457109t.dll(名称数字部分随机生成)到%systemroot%目录。创建新进程,通过调用%systemroot%\system32\rundll32.exe加载tete15457109t.dll。
(3)获得当前进程列表,检测卡巴斯基杀毒软件的ccenter.exe、kavstart.exe、avp.exe三个主进程,如果发现进程,删除相关服务和终止相关进程,病毒会调用sfc.dll动态链接库去掉asyncmac.sys和aec.sys两个驱动文件的保护属性,并释放驱动文件aec.sys和asyncmac.sys,创建服务并启动驱动。启动完成后,通过aec.sys驱动来恢复ssdt,通过asyncmac.sys驱动来终止杀软进程,修改注册表实现镜像劫持,并删除所有注册表启动项目,删除aec.sys和asyncmac.sys两个驱动文件。
(4)完成以上工作后,病毒删除tete15457109t.dll。
(5)创建新线程,创建目录%systemdriver%\recycle.{645ff040-5081-101b-9f08-00aa002f954e},然后病毒将主体重命名为rav32.exe,拷贝到%systemdriver%\recycle.{645ff040-5081-101b-9f08-00aa002f954e}\rav32.exe,并设置文件属性为系统隐藏,写autorun.inf,使用户打开系统磁盘或打开资源管理器就执行病毒。
(6)释放%systemroot%\extext12944765t.exe  (数字部分随机生成)并执行。将病毒自身重命名为scvhost.exe拷贝到%systemroot%\system32\目录下.
(7)病毒文件extext12944765t.exe,首先比较自身是不是userinit.exe,如果是运行explorer.exe进程,通过net命令停止wscsvc(windows安全中心)服务,随后停止shareaccess(windows防火墙)的服务,接着通过cacls将%systemroot%\system32\目录和%temp%目录的访问权限设置为everyone完全控制。
(8)创建456ghj657的互斥体,防止二次运行,创建新线程,访问病毒统计地址
(9)病毒获得注册表操作相关api函数的实际虚拟地址,添加注册表自启动项
(10)获得控制服务操作相关api函数的实际虚拟地址, 释放驱动%systemroot%\system32\drivers\pcidump.sys 创建服务并加载启动,
通过该驱动,将extext12944765t.exe的地址写入%systemroot%\system32\userinit.exe文件的地址空间,感染userinit.exe文件。之后,删除驱动c:\windows\system32\drivers\pcidump.sys和服务
(11)访问病毒下载地址列表,下载大量病毒,并运行
(12)在病毒主文件的当前目录创建批处理文件afc90a.bat,并隐藏执行该批处理,执行完后删除病毒主文件和afc90a.bat文件。

病毒创建文件:

%systemroot%\tete15457109t.dll
%systemroot%\system32\drivers\aec.sys
%systemroot%\system32\drivers\asyncmac.sys
%systemdriver%\recycle.{645ff040-5081-101b-9f08-00aa002f954e}
%systemdriver%\recycle.{645ff040-5081-101b-9f08-00aa002f954e}\rav32.exe
%systemroot%\extext12944765t.exe
%systemdriver%\autorun.inf
%systemroot%\system32\drivers\pcidump.sys
%systemroot%\system32\scvhost.exe
x:\afc90a.bat (x为病毒主文件所在路径)

病毒修改文件:

%systemroot%\system32\userinit.exe

病毒删除文件:

%systemroot%\tete15457109t.dll
%systemroot%\system32\drivers\aec.sys
%systemroot%\system32\drivers\asyncmac.sys
%systemroot%\system32\drivers\pcidump.sys
%systemdriver%\tt.tmp
x:\afc90a.bat

  
病毒创建注册表:
  
hkey_local_machine\system\currentcontrolset\services\asyncmac
hkey_local_machine\system\currentcontrolset\services\aec
hkey_local_machine\system\currentcontrolset\services\pcidump
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\[镜像劫持]
hkey_local_machine\software\microsoft\windows\currentversion\run\rstray

病毒删除注册表:

hkey_local_machine\software\microsoft\windows\currentversion\run
hkey_local_machine\system\currentcontrolset\services\pcidump

病毒访问网络:

http://98l**98.cn/os009/count.asp
http://fc.****.com/xx9/ttnew.txt
http://2w****qw.cn/xx1.exe
http://2w****qw.cn/xx2.exe
http://2w****qw.cn/xx3.exe
http://2w****qw.cn/xx4.exe
http://2w****qw.cn/xx5.exe
http://2w****qw.cn/xx6.exe
http://2w****qw.cn/xx7.exe
http://2w****qw.cn/xx8.exe
http://2w****qw.cn/xx9.exe
http://2w****qw.cn/xx10.exe
http://2w****qw.cn/xx11.exe
http://2w****qw.cn/xx12.exe
http://2w****qw.cn/xx13.exe
http://2w****qw.cn/xx14.exe
http://2w****qw.cn/xx15.exe
http://2w****qw.cn/xx16.exe
http://2w****qw.cn/xx17.exe
http://2w****qw.cn/xx18.exe
http://2w****qw.cn/xx19.exe
http://2w****qw.cn/xx20.exe
http://2w****qw.cn/xx21.exe
http://2w****qw.cn/xx22.exe
http://2w****qw.cn/xx23.exe
http://2w****qw.cn/xx24.exe
http://2w****qw.cn/xx25.exe
http://2w****qw.cn/xx26.exe
http://2w****qw.cn/xx27.exe
http://2w****qw.cn/xx28.exe
http://2w****qw.cn/xx29.exe
http://2w****qw.cn/xx30.exe
http://2w****qw.cn/xx31.exe
http://2w****qw.cn/xx32.exe
http://2w****qw.cn/xx33.exe
http://2w****qw.cn/xx34.exe
http://2w****qw.cn/xx35.exe
http://2w****qw.cn/xx43.exe
http://2w****qw.cn/xx46.exe
http://2w****qw.cn/1690.exe

免费体验
下  载

网站地图