木马下载者
Trojan-Downloader.Win32.Geral.cky
捕获时间
2011-04-28
危害等级
中
病毒症状
该样本是使用“C/C ”编写的木马程序,由微点主动防御软件自动捕获,采用"NsPack"加壳方式试图躲避特征码扫描,加壳后长度为“38,957”字节,图标为“”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播,病毒主要目的是结束本机杀软,下载大量病毒到本机运行。
用户中毒后,会出现系统运行缓慢、存在大量未知可疑进程、杀软无故关闭及无法启动、系统重要资料丢失等现象。
感染对象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
传播途径
文件捆绑、网页挂马、下载器下载
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知间谍”,请直接选择删除处理(如图1)
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现木马"Trojan-Downloader.Win32.Geral.cky”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
未安装微点主动防御软件的手动解决办法:
1.手动清空本机临时文件夹。
2.删除以下注册表项,并删除指向的可执行文件:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称:updater
数据:C:\WINDOWS\system32\updater.exe
3.对全盘进行病毒查杀。
变量声明:
%SystemDriver% 系统所在分区,通常为“C:\”
%SystemRoot% WINDODWS所在目录,通常为“C:\Windows”
%Documents and Settings% 用户文档目录,通常为“C:\Documents and Settings”
%Temp% 临时文件夹,通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
%ProgramFiles% 系统程序默认安装目录,通常为:“C:\ProgramFiles”
病毒分析
1.该样本运行后,获取自身进程id,通过创建本机进程快照获取自身进程的父进程id。
2.获取本机系统目录路径,在系统目录下释放动态链接库文件"killdll.dll"。
3.创建进程运行系统文件"rundll32.exe",通过附加命令的方式运行动态链接库文件"killdll.dll",接着休眠一段时间。
4.动态链接库文件"killdll.dll"被加载运行后,将自身进程提权到"SeDebugPrivilege"权限。
5.接着创建进程快照,查找进程名为"CCenter.exe"(瑞星杀软进程名),若该进程存在则删除系统文件"%SystemRoot%\system32\drivers\AsyncMac.sys",从"killdll.dll"模块资源中释放同名驱动文件,并创建服务加载该驱动,实现在底层结束一些流行杀软进程,同时通过运行命令方式关闭杀软所注册的服务;若"CCenter.exe"进程不存在,通过删除系统文件"%SystemRoot%\system32\drivers\aec.SYSaec.SYS",释放同名驱动文件并加载,实现关闭杀软的目的;最后并将释放的驱动文件删除。
6.获取本机临时目录文件夹,在该目录下释放可执行文件"~Frm.exe"并运行。
7."~Frm.exe"运行后获取自身文件路径,比较自身是否为"%SystemRoot%\system32\userinit.exe"。
8.若是则运行系统文件"%SystemRoot%\explorer.exe",接着执行步骤10。
9.若不是则添加开机启动注册表项,指向"%SystemRoot%\system32\updater.exe"对应以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称:updater
数据:C:\WINDOWS\system32\updater.exe
10.查找名为"TTXOOBBAACCDD"的全局原子,若存在则退出程序,不存在则创建该全局原子,防止程序重复运行。
11.在本机目录下释放名为"tmp.tmp"动态链接库文件,并创建名为"GameTexeTT.."的文件映射对象,用于远进程间的通讯。
12.创建进程运行系统文件"%SystemRoot%\system32\svchost.exe",并将动态链接库文件"tmp.tmp"注入到该进程中运行。
13."~Frm.exe"最后获取本机网卡信息,通过"收信空间"的方式将本机网卡信息发送给黑客,用以统计病毒感染统计。
14.动态链接库文件"tmp.tmp"被加载运行后,打开名为"GameTexeTT.."的文件映射对象,从中获取加密的下载地址信息。
15.从下载地址下载文本文件到本机临时目录下,并更名为"pctools.tmp"。
16.打开文本文件"pctools.tmp",从中获取大量病毒下载地址,下载病毒到本机临时目录文件夹下,更名为"XXXXX_xeex.exe"格式的名字,并运行。
17.释放驱动文件"system32\drivers\pcidump.sys",创建服务加载该驱动,该驱动加载后,修改系统文件"%SystemRoot%\system32\userint.exe",实现"~Frm.exe"文件的开机启动,完成后停止并删除驱动文件"pcidump.sys"。
18.最后在本机临时文件夹下创建批处理文件"_undelme.bat",删除病毒源文件及自身批处理。
病毒创建文件:
%SystemRoot%\system32\killdll.dll
%SystemRoot%\system32\drivers\AsyncMac.sys
%SystemRoot%\system32\drivers\aec.SYSaec.SYS
%SystemRoot%\system32\updater.exe
%Temp%\~Frm.exe
%Temp%\tmp.tmp
%Temp%\pctools.tmp
%Temp%\_undelme.bat
病毒删除文件:
%SystemRoot%\system32\killdll.dll
%SystemRoot%\system32\drivers\AsyncMac.sys
%SystemRoot%\system32\drivers\aec.SYSaec.SYS
%Temp%\_undelme.bat
病毒修改注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称:updater
数据:C:\WINDOWS\system32\updater.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump
名称:ImagePath
数据:C:\WINDOWS\System32\drivers\pcidump.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
名称:ImagePath
数据:C:\WINDOWS\system32\drivers\AsyncMac.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
名称:ImagePath
数据:C:\WINDOWS\system32\drivers\aec.SYSaec.SYS
病毒访问网络:
http://www.ec***.asp?mac=00c029caae9c&xxx****
http://20.p***u.com:7***/1***.txt
http://xi***.pp***.com:7***/B***/d**.exe
http://xi***.pp***.com:7***/B***/rk02.exe
http://xi***.pp***.com:7***/B***/rk03.exe
http://xi***.pp***.com:7***/B***/wen***.exe
http://xi***.pp***.com:7***/B***/rk05.exe
http://xi***.pp***.com:7***/B***/qq.exe
http://xi***.pp***.com:7***/B***/rk06.exe
http://xi***.pp***.com:7***/B***/rk07.exe
http://xi***.pp***.com:7***/B***/rk08.exe
http://xi***.pp***.com:7***/B***/rk09.exe
http://xi***.pp***.com:7***/B***/rk10.exe
http://xi***.pp***.com:7***/B***/rk11.exe
http://xi***.pp***.com:7***/B***/rk12.exe
http://xi***.pp***.com:7***/B***/rk13.exe
http://xi***.pp***.com:7***/B***/r***.exe
http://xi***.pp***.com:7***/B***/rk15.exe
http://xi***.pp***.com:7***/B***/rk16.exe
http://xi***.pp***.com:7***/B***/rk17.exe
http://xi***.pp***.com:7***/B***/rk18.exe
http://xi***.pp***.com:7***/B***/rk19.exe
http://xi***.pp***.com:7***/B***/rk22.exe
http://xi***.pp***.com:7***/B***/rk24.exe
http://xi***.pp***.com:7***/B***/rk25.exe
http://xi***.pp***.com:7***/B***/g***.exe