首 页  |  微点新闻  |  业界动态  |  安全资讯  |  安全快报  |  产品信息  |  网络版首页
通行证  |  客服中心  |  微点社区  |  微点邮局  |  常见问题  |  在线订购  |  各地代理商
 

木马下载器Trojan-Downloader.Win32.Geral.u
来源:  2010-09-26 10:18:33

木马下载器

Trojan-Downloader.Win32.Geral.u

捕获时间

2010-9-26

危害等级



病毒症状

该样本是使用“VC ”编写的“下载者”,由微点主动防御软件自动捕获, 采用“NSPack”加壳方式,企图躲避特征码扫描,加壳后长度为“40,781”字节,图标为“”,使用“exe”扩展名,通过文件捆绑、网页挂马、下载器下载等方式进行传播。病毒主要目的是下载病毒木马。当用户计算机感染此木马病毒后,会出现系统无故报错,杀毒软件自动退出无法启动,并且发现未知进程等现象.

感染对象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

传播途径

文件捆绑、网页挂马、下载器下载

防范措施

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1)

 

图1 微点主动防御软件自动捕获未知病毒(未升级)



如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现木马"Trojan-Downloader.Win32.Geral.u”,请直接选择删除(如图2)。

 

图2   微点主动防御软件升级后截获已知病毒



未安装微点主动防御软件的手动解决办法:

1)手动删除文件
1.删除  %ProgramFiles%\RAV目录
2.删除  %Temp%\ cc3188937.exe
3.删除  %SystemRoot%\system32\jsseting.data
4. 删除  %SystemRoot%\system32\drivers\ CCTest.sys
5, 删除  %SystemRoot%\temp\Explorer.EXE

2)手动删除注册表
1.删除
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CCTest
名称:ImagePath
数据:System32\DRIVERS\CCTest.sys
2.删除
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
数据:kav
值:C:\WINDOWS\system32\kav.exe

3)用正常文件替换以下文件:
%SystemRoot%\system32\drivers\etc\hosts

变量声明:

%SystemDriver%       系统所在分区,通常为“C:\”
%SystemRoot%        WINDODWS所在目录,通常为“C:\Windows”
%Documents and Settings%  用户文档目录,通常为“C:\Documents and Settings”
%Temp%           临时文件夹,通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
%ProgramFiles%       系统程序默认安装目录,通常为:“C:\ProgramFiles”

病毒分析:

1.病毒创建互斥体变量名:“GCGCD.”,防止程序多次运行。
2.病毒获得Windows路径,比较病毒本身是否注入到"C:\WINDOWS\Explorer.EXE"进程中,如果注入成功,则将"C:\WINDOWS\System32\drivers\gm.dls"文件,拷贝到"C:\WINDOWS\temp\"目录下,并重新命名为:“Explorer.exe”,然后运行加载之。
3.如果不成功,则病毒获得Windows路径,在该目录下建立文件"C:\WINDOWS\5717.mp4",执行该命令行“reg.exe”,“import C:\WINDOWS\5717.mp4”以及将“PolicyAgent”服务(管理 IP 安全策略以及启动 ISAKMP/Oakley 和 IP 安全驱动程序)的启动方式改为“auto”.先执行停止“PolicyAgent”服务"stop PolicyAgent",然后在开启“PolicyAgent”服务"start PolicyAgent"。病毒执行完该服务后,删除"C:\WINDOWS\5717.mp4"等文件。
4.病毒在该目录下“C:\Program Files\RAV”,释放“CCTest.inf”,” CCTest.sys” ,分别加载该配置文件和驱动文件,建立服务项,释放“C:\WINDOWS\system32\drivers\ CCTest.sys”文件,修改注册表项:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CCTest
  名称:ImagePath
  数据:System32\DRIVERS\CCTest.sys
5,病毒释放“C:\Program Files\RAV\CCTest.dll”等文件,然后以testall为参数加载之, 查找安全软进程件,找到以后杀掉安全软件进程。
6,病毒在临时文件下释放%Temp?906921.exe(随机名)并加载运行,提升自身为SeDebugPrivilege权限,修改用户hosts文件,将网卡地址发到指定的网站,从指定网址下载大量病毒木马到本地运行. 屏蔽大量IP地址,使用户无法访问部分网站,释放病毒文件C:\Windows\system32\jsseting.data并加载运行之,成功后删除C:\Windows\system32\jsseting.data。
8,病毒创建驱动文件C:\Windows\system32\drivers\pcidump.sys,注入Explorer.exe并感染C:\Windows\system32\drivers\gm.dls.成功后删除pcidump.sys文件及相关的服务。
9,病毒将自身重命名为C:\Windows\system32\kav.exe.并修改注册表信息:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
数据:kav
值:C:\WINDOWS\system32\kav.exe
实现自启动。
     
病毒创建文件:

%SystemRoot%\temp\Explorer.EXE
%SystemRoot%\5717.mp4
%ProgramFiles%\RAV\CCTest.inf
%ProgramFiles%\RAV\CCTest.sys
%ProgramFiles%\RAV\CCTest.dll
%SystemRoot%\system32\drivers\ CCTest.sys
%Temp%\ cc3188937.exe(随机名)
%systemroot%\system32\jsseting.data
%systemroot%\system32\drivers\pcidump.sys
%SystemRoot%\system32\kav.exe

病毒创建注册表:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
数据:kav
值:C:\WINDOWS\system32\kav.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CCTest
名称:ImagePath
数据:System32\DRIVERS\CCTest.sys

病毒访问网络:

http://mc12.m*****.com:18888/56/tj.asp
http://cq.ww*****.com:18182/c/host.txt

免费体验
下  载
安装演示