东方微点-yb体育官方

  yb体育官方  
yb体育官方-yb亚博全站首页  |  微点新闻  |  业界动态  |  安全资讯  |   |   |  网络版yb亚博全站首页
 |   |   |   |   |   |  各地代理商
 

木马下载者trojan-downloader.win32.small.agsy

木马下载者

trojan-downloader.win32.small.agsy

捕获时间

2012-02-26

危害等级



病毒症状

   该样本是使用“microsoft visual c 6.0”编写的“木马下载器”,由微点主动防御软件自动捕获,长度为“25,024”字节,图标为“”,使用“exe”扩展名,通过文件捆绑、网页挂马、下载器下载等方式进行传播,病毒主要目的是指引用户计算机到黑客指定的url地址去下载更多的病毒或木马后门文件并运行。
   用户中毒后会出现电脑的运行速度变慢,杀软无故退出而不能启动,出现大量未知进程等现象。

感染对象

windows 2000/windows xp/windows 2003/windows vista/ windows 7

传播途径

文件捆绑、网页挂马、下载器下载

防范措施

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1)


图1 微点主动防御软件自动捕获未知病毒(未升级)



如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现木马"trojan-downloader.win32.small.agsy ”,请直接选择删除(如图2)。


图2   微点主动防御软件升级后截获已知病毒



未安装微点主动防御软件的手动解决办法:

手动删除以下文件:

%systemroot%\qedie\conime.exe
%temp%\18672577.gif(文件名随机)
%systemroot%\qedir\felaxega.exe(文件名随机)
%systemroot%\qedir\vbyjhivh.exe(文件名随机)
%systemroot%\qedir\rhrouxib.exe(文件名随机)
%systemroot%\qedir\yhelxael.exe(文件名随机)
%systemroot%\qedir\rhdfrqka.exe(文件名随机)
%systemroot%\qedir\savwruvh.exe(文件名随机)

手动删除注册表项:

项:hkey_local_machine\software\microsoft\active setup\installed components\{aengfu3aa-b933-11d2-9cbd-0000f87a369e}
键:hkey_local_machine\software\microsoft\active setup\installed components\{aengfu3aa-b933-11d2-9cbd-0000f87a369e}\stubpath

变量声明:

  %systemdriver%       系统所在分区,通常为“c:\”
  %systemroot%        windodws所在目录,通常为“c:\windows”
  %documents and settings%  用户文档目录,通常为“c:\documents and settings”
  %temp%           临时文件夹,通常为“c:\documents and settings\当前用户名称\local settings\temp”
  %programfiles%       系统程序默认安装目录,通常为:“c:\programfiles”

病毒分析:

1、创建一个名为"与他sdadasdasxsaxsad2324343fdsfdsgrrhthtu76656"的事件,以创建一个新的进程的方式打开样本。
2、判断样本路径是否为"c:\windows\qedie\conime.exe",如果不是,则创建"c:\program files\933.txt"文件,保存样本的完整路径名。
3、在系统目录下创建“c:\windows\qedie\”文件夹,将样本复制为"c:\windows\qedie\conime.exe"。写入一些空字符,以改变文件的大小。
4、"c:\windows\qedie\conime.exe"运行后,解析出网址http://sms.***.com:81/fc/01.gif,创建名为"xlxndxs"的互斥体,防止文件二次运行。
5、创建两个线程,第一个线程:打开"c:\program files\933.txt",读取样本路径,然后将该文件和样本删除。
6、第二个线程:创建注册表项" hkey_local_machine\software\microsoft\active setup\installed components\{aengfu3aa-b933-11d2-9cbd-0000f87a369e}",创建键名为stubpath键值为c:\windows\qedie\conime.exe的键,以达到开机自启动的目的。
7、打开网络连接:http://sms.***.com:81/fc/01.gif,获取数据写入"c:\docume~1\admini~1\locals~1\temp\18672577.gif",从该文件中获取字符串,供解密下载木马的链接之用。
8、为存放下载的木马创建一个新的文件夹"c:\windows\qedir\"。
9、遍历窗口,获取窗口的标题,分别对比“数据包”、“辐络军刀”、“抓包”、“监听”、“酷抓”、“嗅探”、“捕获”、“幽狗”、“监视”、“嗅觉”、“niff”、“网络探手”、“wpe”、“远程桌面”、“version”、“expert”、“pack”、“analyzer”、“winnetcap”、“封包”、“wireshark”、“木马辅”、“任务管理器”,若找到,则等待2秒,再重复查找,直到用户关闭相关窗口。
10、创建"c:\windows\qedir\felaxega.exe"(文件名随机),从http://121.10.***:88/cc/101.exe下载数据保存到该文件中,以创建进程的方式运行。
11、重复13、14两个步骤,分别从http://121.10.**:88/tt/16.exe下载"c:\windows\qedir\vbyjhivh.exe"(文件名随机),从http://121.10.***:88/tt/18.exe下载c:\windows\qedir\rhrouxib.exe"(文件名随机),从http://121.10.***:88/tt/26.exe下载"c:\windows\qedir\yhelxael.exe"(文件名随机), 从http://121.10.***:88/tt/29.exe下载"c:\windows\qedir\rhdfrqka.exe"(文件名随机), 从http://121.10.***:88/cc/01.exe下载"c:\windows\qedir\savwruvh.exe"(文件名随机),分别以创建进程的方式运行。
12、将"c:\docume~1\admini~1\locals~1\temp\18672577.gif"文件删除。
13、获取本机的mac地址,获取用用户标识符,创建进程快照获取当前进程的数量,将信息发送到指定网址。
14、创建一个新的线程,循环删除该样本所下载的木马文件。
15、等待90分钟后,重复步骤11~18的动作。

病毒创建文件:

%systemroot%\qedie\conime.exe
%programfiles%\933.txt
%temp%\18672577.gif(文件名随机)
%systemroot%\qedir\felaxega.exe(文件名随机)
%systemroot%\qedir\vbyjhivh.exe(文件名随机)
%systemroot%\qedir\rhrouxib.exe(文件名随机)
%systemroot%\qedir\yhelxael.exe(文件名随机)
%systemroot%\qedir\rhdfrqka.exe(文件名随机)
%systemroot%\qedir\savwruvh.exe(文件名随机)

病毒创建注册表:

项:hkey_local_machine\software\microsoft\active setup\installed components\{aengfu3aa-b933-11d2-9cbd-0000f87a369e}
键:hkey_local_machine\software\microsoft\active setup\installed components\{aengfu3aa-b933-11d2-9cbd-0000f87a369e}\stubpath

病毒删除文件:

%programfiles%\933.txt
%temp%\18672577.gif(文件名随机)
样本自身文件

病毒访问网络:

http://sms.***.com:81/fc/01.gif
http://121.10.***:88/cc/101.exe
http://121.10.***:88/tt/16.exe
http://121.10.***:88/tt/18.exe
http://121.10.***:88/tt/26.exe
http://121.10.***:88/tt/29.exe
http://121.10.***:88/cc/01.exe

免费试用
下  载

网站地图