捕获时间
2008-12-25
病毒摘要
该样本是使用“vc”编写的木马下载器,由微点主动防御软件自动捕获,采用加壳方式并经过特殊处理试图躲避特征码扫描,加壳后长度为“37,740字节”,图标为“”,使用“exe”扩展名,通过“网页木马”、“文件捆绑”途径植入用户计算机,运行后下载大量盗号木马到本地运行。
感染对象
windows 2000/windows xp/windows 2003
传播途径
网页木马、文件捆绑
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"trojan-downloader.win32.edog.bk”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取yb亚博全站首页的技术支持。
3、开启windows自动更新,及时打好漏洞补丁。
病毒分析
该样本程序被执行后,遍历查找下列安全软件进程,一旦找到后尝试将其结束,达到自身保护目的:
|
avp.exe
ravmon.exe
kavstart.exe |
|
调用带“delay_until_reboot”标志参数的系统api函数“movefileex”来实现下次系统启动后病毒的自删除,释放名为“dogkiller.sys”的文件到%temp%目录下,并创建下列的“dogkiller”服务:
|
项:
hklm\system\currentcontrolset\services\dogkiller
键值:displayname
指向数据:dogkiller
健值:imagepath
指向数据:%temp%\ dogkiller.sys |
|
服务创建成功后调用此服务,尝试对磁盘进行读写操作实现对“userinit.exe”文件的修改,等待下次重启后利用“userinit.exe”文件进行下载大量木马,再“dogkiller”运行结束关闭后删除“dogkiller.sys”文件,并调用api函数“shdeletekeya”删除注册表中“dogkiller”服务相关项实现对该服务的清除,等待联网状态,访问下列指定的网址进行病毒自身统计:
|
http://liebiao.****just.cn/liebiao/1/clcount/count.asp?mac=00c0****da87&ver=2008102001 |
|
访问下列指定网址的木马列表,进行下载木马并在下载后进行调用运行:
|
http://liebiao.****just.cn/liebiao/1/down.txt |
|
网址内容为:
|
[file]
isfile=1
url1=http://av114.ring360.mo.cn/******111/1.exe
biaoji1=testp1.exe
yanshi1=0.6
url2=http://av114.ring360.mo.cn/******111/2.exe
biaoji2=testp2.exe
yanshi2=0.2
url3=http://av114.ring360.mo.cn/******111/3.exe
biaoji3=testp3.exe
yanshi3=0.2
url4=http://av114.ring360.mo.cn/******111/4.exe
biaoji4=testp4.exe
yanshi4=0.2
url5=http://av114.ring360.mo.cn/******111/5.exe
biaoji5=testp5.exe
yanshi5=0.2
url6=http://av114.ring360.mo.cn/******111/6.exe
biaoji6=testp6.exe
yanshi6=0.2
url7=http://av114.ring360.mo.cn/******111/7.exe
biaoji7=testp7.exe
yanshi7=0.2
url8=http://av114.ring360.mo.cn/******111/8.exe
biaoji8=testp8.exe
yanshi8=0.2
url9=http://av114.ring360.mo.cn/******111/9.exe
biaoji9=testp9.exe
yanshi9=0.2
url10=http://av114.ring360.mo.cn/******111/10.exe
biaoji10=testp10.exe
yanshi10=0.2
url11=http://av114.ring360.mo.cn/******111/11.exe
biaoji11=testp11.exe
yanshi11=0.2
url12=http://av114.ring360.mo.cn/******111/12.exe
biaoji12=testp12.exe
yanshi12=0.2
url13=http://av114.ring360.mo.cn/******111/13.exe
biaoji13=testp13.exe
yanshi13=0.2
url14=http://av114.ring360.mo.cn/******111/14.exe
biaoji14=testp14.exe
yanshi14=0.2
url15=http://av114.ring360.mo.cn/******111/15.exe
biaoji15=testp15.exe
yanshi15=0.2
url16=http://av114.ring360.mo.cn/******111/16.exe
biaoji16=testp16.exe
yanshi16=0.2
url17=http://av114.ring360.mo.cn/******111/17.exe
biaoji17=testp17.exe
yanshi17=0.2
url18=http://av114.ring360.mo.cn/******111/18.exe
biaoji18=testp18.exe
yanshi18=0.2
url19=http://av114.ring360.mo.cn/******111/19.exe
biaoji19=testp19.exe
yanshi19=0.2
url20=http://av114.ring360.mo.cn/******111/20.exe
biaoji20=testp20.exe
yanshi20=0.2
url21=http://av114.ring360.mo.cn/******111/21.exe
biaoji21=testp21.exe
yanshi21=0.2
url22=http://av114.ring360.mo.cn/******111/22.exe
biaoji22=testp22.exe
yanshi22=0.2
url23=http://av114.ring360.mo.cn/******111/23.exe
biaoji23=testp23.exe
yanshi23=0.2
url24=http://av114.ring360.mo.cn/******111/24.exe
biaoji24=testp24.exe
yanshi24=0.2
url25=http://av114.ring360.mo.cn/******111/25.exe
biaoji25=testp25.exe
yanshi25=0.2
url26=http://av114.ring360.mo.cn/******111/26.exe
biaoji26=testp26.exe
yanshi26=0.2
url27=http://av114.ring360.mo.cn/******111/27.exe
biaoji27=testp27.exe
yanshi27=0.2
url28=http://av114.ring360.mo.cn/******111/28.exe
biaoji28=testp28.exe
yanshi28=0.2
url29=http://av114.ring360.mo.cn/******111/29.exe
biaoji29=testp29.exe
yanshi29=0.2
url30=http://av114.ring360.mo.cn/******111/30.exe
biaoji30=testp30.exe
yanshi30=0.2
url31=http://av114.ring360.mo.cn/******111/31.exe
biaoji31=testp31.exe
yanshi31=0.2
url32=http://av114.ring360.mo.cn/******111/32.exe
biaoji32=testp32.exe
yanshi32=0.2
url33=http://av114.ring360.mo.cn/******111/33.exe
biaoji33=testp33.exe
yanshi33=0.2
url34=http://av114.ring360.mo.cn/******111/34.exe
biaoji34=testp34.exe
yanshi34=0.2
url35=http://av**.ring360.mo.cn/35.exe
biaoji35=testp35.exe
yanshi35=0.2
url36=http://av**.ring360.mo.cn/36.exe
biaoji36=testp36.exe
yanshi36=0.2
url37=http://av**.ring360.mo.cn/37.exe
biaoji37=testp37.exe
yanshi37=0.2
url38=http://av**.ring360.mo.cn/38.exe
biaoji38=testp38.exe
yanshi38=0.2
url39=http://av**.ring360.mo.cn/39.exe
biaoji39=testp39.exe
yanshi39=0.2
url40=http://av**.ring360.mo.cn/40.exe
biaoji40=testp40.exe
yanshi40=0.2
url41=http://av**.ring360.mo.cn/41.exe
biaoji41=testp41.exe
yanshi41=0.2
url42=http://av**.ring360.mo.cn/42.exe
biaoji42=testp42.exe
yanshi42=0.2
url43=http://av**.ring360.mo.cn/43.exe
biaoji43=testp43.exe
yanshi43=0.2
url44=http://av**.ring360.mo.cn/44.exe
biaoji44=testp44.exe
yanshi44=0.2
url45=http://av**.ring360.mo.cn/45.exe
biaoji45=testp45.exe
yanshi45=0.2
url46=http://av**.ring360.mo.cn/46.exe
biaoji46=testp46.exe
yanshi46=0.2
url47=http://av**.ring360.mo.cn/47.exe
biaoji47=testp47.exe
yanshi47=0.2
url48=http://av**.ring360.mo.cn/48.exe
biaoji48=testp48.exe
yanshi48=0.2
url49=http://av**.ring360.mo.cn/49.exe
biaoji49=testp49.exe
yanshi49=0.2
url50=http://av**.ring360.mo.cn/50.exe
biaoji50=testp50.exe
yanshi50=0.2
url51=http://av**.ring360.mo.cn/51.exe
biaoji51=testp51.exe
yanshi51=0.2
url52=http://av**.ring360.mo.cn/52.exe
biaoji52=testp52.exe
yanshi52=0.2
count=52 |
|
|