捕获时间
2009-1-24
病毒摘要
该样本是使用“vc ”编写的盗号木马,由微点主动防御软件自动捕获,采用“rlpack”加壳方式试图躲避特征码扫描,加壳后长度为“37,740 字节”,图标为“”,病毒扩展名为“exe”,主要通过“网页木马”、“文件捆绑”的方式传播,病毒主要目的为下载大量病毒程序至用户主机。
感染对象
windows 2000/windows xp/windows 2003
传播途径
网页木马、文件捆绑、下载器下载
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“rootkit程序”,请直接选择删除处理(如图1);
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"trojan-downloader.win32.agent.amjj”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取yb亚博全站首页的技术支持。
3、开启windows自动更新,及时打好漏洞补丁。
病毒分析
该样本被执行后,将修改注册表,将自身设置为自启动项,相关注册表如下:
|
键:“hkey_local_machine\system\currentcontrolset\control\session manager”
值:“pendingfilerenameoperations”
数据:“\??\c:\sample.exe” |
|
释放驱动文件“dogkiller.sys”至系统文件夹“%temp%”
|
键:“hkey_local_machine\system\currentcontrolset\services\dogkiller”
值:“type”
数据:“driver service”
值:“start”
数据:“service demand start”
值:“imagepath”
数据:“\??\c:\docume~1\admini~1\locals~1\temp\dogkiller.sys”
值:“displayname”
数据:“dogkiller” |
|
“dogkiller.sys”为病毒作者编写的磁盘过滤驱动,服务创建成功后调用此服务,尝试对磁盘进行读写操作实现对“userinit.exe”文件的修改,等待下次重启后利用“userinit.exe”文件进行下载大量木马。
当“dogkiller.sys”操作完成后,将删除“dogkiller.sys”文件,并调用api函数“shdeletekeya”删除注册表中“dogkiller”服务相关项实现对该服务的清除,查询联网状态,访问下列指定的网址进行病毒自身统计:
|
“http://liebiao.****just.cn/liebiao/1/clcount/count.asp?mac=00c0****da87&ver=2008102001” |
|
访问下列指定网址的木马列表,进行下载木马并在下载后进行调用运行:
|
“http://liebiao.****just.cn/liebiao/1/down.txt” |
|
网址内容为:
|
[file]
isfile=1
url1=http://av114.ring360.mo.cn/******111/1.exe
biaoji1=testp1.exe
yanshi1=0.6
url2=http://av114.ring360.mo.cn/******111/2.exe
biaoji2=testp2.exe
yanshi2=0.2
url3=http://av114.ring360.mo.cn/******111/3.exe
biaoji3=testp3.exe
yanshi3=0.2
url4=http://av114.ring360.mo.cn/******111/4.exe
biaoji4=testp4.exe
yanshi4=0.2
url5=http://av114.ring360.mo.cn/******111/5.exe
biaoji5=testp5.exe
yanshi5=0.2
url6=http://av114.ring360.mo.cn/******111/6.exe
biaoji6=testp6.exe
yanshi6=0.2
url7=http://av114.ring360.mo.cn/******111/7.exe
biaoji7=testp7.exe
yanshi7=0.2
url8=http://av114.ring360.mo.cn/******111/8.exe
biaoji8=testp8.exe
yanshi8=0.2
url9=http://av114.ring360.mo.cn/******111/9.exe
biaoji9=testp9.exe
yanshi9=0.2
url10=http://av114.ring360.mo.cn/******111/10.exe
biaoji10=testp10.exe
yanshi10=0.2
url11=http://av114.ring360.mo.cn/******111/11.exe
biaoji11=testp11.exe
yanshi11=0.2
url12=http://av114.ring360.mo.cn/******111/12.exe
biaoji12=testp12.exe
yanshi12=0.2
url13=http://av114.ring360.mo.cn/******111/13.exe
biaoji13=testp13.exe
yanshi13=0.2
url14=http://av114.ring360.mo.cn/******111/14.exe
biaoji14=testp14.exe
yanshi14=0.2
url15=http://av114.ring360.mo.cn/******111/15.exe
biaoji15=testp15.exe
yanshi15=0.2
url16=http://av114.ring360.mo.cn/******111/16.exe
biaoji16=testp16.exe
yanshi16=0.2
url17=http://av114.ring360.mo.cn/******111/17.exe
biaoji17=testp17.exe
yanshi17=0.2
url18=http://av114.ring360.mo.cn/******111/18.exe
biaoji18=testp18.exe
yanshi18=0.2
url19=http://av114.ring360.mo.cn/******111/19.exe
biaoji19=testp19.exe
yanshi19=0.2
url20=http://av114.ring360.mo.cn/******111/20.exe
biaoji20=testp20.exe
yanshi20=0.2
url21=http://av114.ring360.mo.cn/******111/21.exe
biaoji21=testp21.exe
yanshi21=0.2
url22=http://av114.ring360.mo.cn/******111/22.exe
biaoji22=testp22.exe
yanshi22=0.2
url23=http://av114.ring360.mo.cn/******111/23.exe
biaoji23=testp23.exe
yanshi23=0.2
url24=http://av114.ring360.mo.cn/******111/24.exe
biaoji24=testp24.exe
yanshi24=0.2
url25=http://av114.ring360.mo.cn/******111/25.exe
biaoji25=testp25.exe
yanshi25=0.2
url26=http://av114.ring360.mo.cn/******111/26.exe
biaoji26=testp26.exe
yanshi26=0.2
url27=http://av114.ring360.mo.cn/******111/27.exe
biaoji27=testp27.exe
yanshi27=0.2
url28=http://av114.ring360.mo.cn/******111/28.exe
biaoji28=testp28.exe
yanshi28=0.2
url29=http://av114.ring360.mo.cn/******111/29.exe
biaoji29=testp29.exe
yanshi29=0.2
url30=http://av114.ring360.mo.cn/******111/30.exe
biaoji30=testp30.exe
yanshi30=0.2
url31=http://av114.ring360.mo.cn/******111/31.exe
biaoji31=testp31.exe
yanshi31=0.2
url32=http://av114.ring360.mo.cn/******111/32.exe
biaoji32=testp32.exe
yanshi32=0.2
url33=http://av114.ring360.mo.cn/******111/33.exe
biaoji33=testp33.exe
yanshi33=0.2
url34=http://av114.ring360.mo.cn/******111/34.exe
biaoji34=testp34.exe
yanshi34=0.2
url35=http://av**.ring360.mo.cn/35.exe
biaoji35=testp35.exe
yanshi35=0.2
url36=http://av**.ring360.mo.cn/36.exe
biaoji36=testp36.exe
yanshi36=0.2
url37=http://av**.ring360.mo.cn/37.exe
biaoji37=testp37.exe
yanshi37=0.2
url38=http://av**.ring360.mo.cn/38.exe
biaoji38=testp38.exe
yanshi38=0.2
url39=http://av**.ring360.mo.cn/39.exe
biaoji39=testp39.exe
yanshi39=0.2
url40=http://av**.ring360.mo.cn/40.exe
biaoji40=testp40.exe
yanshi40=0.2
url41=http://av**.ring360.mo.cn/41.exe
biaoji41=testp41.exe
yanshi41=0.2
url42=http://av**.ring360.mo.cn/42.exe
biaoji42=testp42.exe
yanshi42=0.2
url43=http://av**.ring360.mo.cn/43.exe
biaoji43=testp43.exe
yanshi43=0.2
url44=http://av**.ring360.mo.cn/44.exe
biaoji44=testp44.exe
yanshi44=0.2
url45=http://av**.ring360.mo.cn/45.exe
biaoji45=testp45.exe
yanshi45=0.2
url46=http://av**.ring360.mo.cn/46.exe
biaoji46=testp46.exe
yanshi46=0.2
url47=http://av**.ring360.mo.cn/47.exe
biaoji47=testp47.exe
yanshi47=0.2
url48=http://av**.ring360.mo.cn/48.exe
biaoji48=testp48.exe
yanshi48=0.2
url49=http://av**.ring360.mo.cn/49.exe
biaoji49=testp49.exe
yanshi49=0.2
url50=http://av**.ring360.mo.cn/50.exe
biaoji50=testp50.exe
yanshi50=0.2
url51=http://av**.ring360.mo.cn/51.exe
biaoji51=testp51.exe
yanshi51=0.2
url52=http://av**.ring360.mo.cn/52.exe
biaoji52=testp52.exe
yanshi52=0.2
count=52 |
|
|