东方微点-yb体育官方

  yb体育官方  
yb体育官方-yb亚博全站首页  |  微点新闻  |  业界动态  |  安全资讯  |   |   |  网络版yb亚博全站首页
 |   |   |   |   |   |  各地代理商
 

木马下载器trojan-downloader.win32.agent.bnfv
来源:  2010-12-02 15:38:24

木马下载器

trojan-downloader.win32.agent.bnfv

捕获时间

2010-12-02

危害等级



病毒症状

  该样本是使用“c/c ”编写的木马程序,由微点主动防御软件自动捕获,长度为“6,768”字节,图标为“”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播,病毒主要目的是下载病毒木马至本机运行。
  用户中毒后,会出现系统运行缓慢、存在大量未知可疑进程、系统重要资料丢失等现象。

感染对象

windows 2000/windows xp/windows 2003/windows vista/ windows 7

传播途径

文件捆绑、网页挂马、下载器下载

防范措施

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1)

 

图1 微点主动防御软件自动捕获未知病毒(未升级)



如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现木马"trojan-downloader.win32.agent.bnfv”,请直接选择删除(如图2)。

 

图2   微点主动防御软件升级后截获已知病毒



未安装微点主动防御软件的手动解决办法:

1.手动结束进程calc.exe,之后结束路径为%systemroot%\tasks\下的conime.exe进程以及其他的可疑进程
2.将正常注册表值导入到以下注册表路径处:
hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon
名称:userinit
数值:c:\windows\system32\userinit.exe,c:\windows\tasks\conime.exe
3.手动删除以下文件:
%systemroot%\tasks\conime.exe

变量声明:

%systemdriver%       系统所在分区,通常为“c:\”
%systemroot%        windodws所在目录,通常为“c:\windows”
%documents and settings%  用户文档目录,通常为“c:\documents and settings”
%temp%           临时文件夹,通常为“c:\documents and settings\当前用户名称\local settings\temp”
%programfiles%       系统程序默认安装目录,通常为:“c:\programfiles”

病毒分析

(1)病毒获取自身路径,与预先存入路径对比,查看自身路径是否为系统计划任务目录%systemroot%\tasks中
(2)若不是则说明是首次运行,病毒删除%systemroot%\tasks\conime.exe,以免影响自身运行。
(3)修改注册表项,以实现开机自启动。对应注册表值为:
hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon
名称:userinit
数值:c:\windows\system32\userinit.exe,c:\windows\tasks\conime.exe
(4)完成后将自身复制为%systemroot%\tasks\conime.exe,以实现隐藏。
(5)成功后以隐藏窗口模式启动%systemroot%\tasks\conime.exe
(6)病毒通过命令行以隐藏窗口模式打开计算器进程calc.exe,写入内存对计算器进程实现注入,用以监控病毒进程是否存在。一旦病毒进程被结束则重新启动病毒。
(7)%systemroot%\tasks\conime.exe启动后,读取自身资源,从指定网址下载病毒列表到本地,存储为%systemdriver%\boot
(8)通过读取%systemdriver%\boot列表中的网址下载病毒文件到本机并运行,完成后删除%systemdriver%\boot
(9)发送本机mac地址和系统版本至黑客指定网址以便进行感染统计。
(10)建立循环,每隔20分钟重新获取列表并下载病毒,如是循环6次之后结束自身进程。

病毒创建文件:

%systemroot%\tasks\conime.exe
%systemdriver%\boot

病毒删除文件:

%systemdriver%\boot

病毒修改注册表:

hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon
名称:userinit
数值:c:\windows\system32\userinit.exe,c:\windows\tasks\conime.exe

病毒访问网络:

http://www.playn***o.com/d.txt
http://nishi***.004.sz***.com/count/count.asp

免费体验
下  载

网站地图