捕获时间
2008-12-12
病毒摘要
该样本是使用“C语言”编写的木马下载器,由微点主动防御软件自动捕获,采用“RLPack”加壳方式试图躲避特征码扫描,长度为“30,277 字节”,图标为“
”,病毒扩展名为“exe”,主要通过“网页木马”、“局域网感染”、“漏洞利用”、“文件捆绑”等方式传播,病毒最终目的是下载大量各类木马至本地运行,实现各类网游盗号、设立后门等操作,使用户利益受到损害。
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马、局域网感染、漏洞利用、文件捆绑
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知间谍软件”,请直接选择删除处理(如图1);
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"Trojan-Downloader.Win32.Agent.akzn”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
3、开启windows自动更新,及时打好漏洞补丁。
病毒分析
该样本程序被执行后,首先将进行防调试判断,遍历OllyICE.exe、OllyDbg.exe、ImportREC.exe、C32Asm.exe、LordPE.exe、PEditor.exe等调试软件进程,若遍历获得,则停止一切操作,进程退出。
成功执行后,样本将在系统文件夹“%Temp%”下释放动态库文件“dll390.dll”,该动态库文件的命名特点是三位数字为随机,在“%SystemRoot%\system32”文件夹下释放驱动文件“Nskhelper2.sys”,将“Nskhelper2.sys”注册为名为“NsRk1”的服务,创建名为“\\.\NsRk1”的设备,相关注册表项如下:
| |
项:“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NsRk1”
键:“Type”
数据:“SERVICE KERNEL DRIVER”
键:“Start”
数据:“SERVICE DEMAND START”
键:“ImagePath”
数据:“\??\C:\WINDOWS\system32\Nskhelper2.sys”
键:“DisplayName”
数据:“NsRk1” |
|
启动“svchost.exe”,在其中划出一块内存空间,将“dll390.dll”注入其中,启动十余个线程共同操作。修改注册表,将下列安全及辅助工具进程映像劫持,指向“svchost.exe”。
360safe.exe
360safebox.exe
360tray.exe
ACKWIN32.exe
ANTI-TROJAN.exe
anti.exe
antivir.exe
APVXDWIN.exe
atrack.exe
AUTODOWN.exe
AVCONSOL.exe
AVE32.exe
AVGCTRL.exe
avk.exe
AVKSERV.exe
avp.exe
AVPUPD.exe
AVSCHED32.exe
avsynmgr.exe
AVWIN95.exe
avxonsol.exe
BLACKD.exe
BLACKICE.exe
CCenter.exe
CFIADMIN.exe
CFIAUDIT.exe
CFIND.exe
cfinet.exe
cfinet32.exe
CLAW95.exe
CLAW95CT.exe
CLEANER.exe
CLEANER3.exe
DAVPFW.exe
dbg.exe
debu.exe
DV95.exe
DV95_O.exe
DVP95.exe
ECENGINE.exe
EFINET32.exe
ESAFE.exe
ESPWATCH.exe
explorewclass.exe
F-AGNT95.exe
F-PROT.exe
f-prot95.exe
f-stopw.exe
FINDVIRU.exe
fir.exe
fp-win.exe
FRW.exe
IAMAPP.exe
IAMSERV.exe
IBMASN.exe
IBMAVSP.exe
ice.exe
IceSword.exe
ICLOAD95.exe
ICLOADNT.exe
ICMOON.exe
ICSSUPPNT.exe
iom.exe
iomon98.exe
JED.exe
Kabackreport.exe
Kasmain.exe
kav32.exe
kavstart.exe
kissvc.exe
KPFW32.exe
kpfwsvc.exe
KPPMain.exe
KRF.exe
KVMonXP.exe
KVPreScan.exe
kwatch.exe
lamapp.exe
lockdown2000.exe
LOOKOUT.exe
luall.exe
LUCOMSERVER.exe
mcafee.exe
microsoft.exe
mon.exe
moniker.exe
MOOLIVE.exe
MPFTRAY.exe
ms.exe
N32ACAN.exe
navapsvc.exe
navapw32.exe
NAVLU32.exe
NAVNT.exe
navrunr.exe
NAVSCHED.exe
NAVW.exe
NAVW32.exe
navwnt.exe
nisserv.exe
nisum.exe
NMAIN.exe
NORMIST.exe
norton.exe
NUPGRADE.exe
NVC95.exe
office.exe
OUTPOST.exe
PADMIN.exe
PAVCL.exe
pcc.exe
PCCClient.exe
pccguide.exe
pcciomon.exe
pccmain.exe
pccwin98.exe
PCFWALLICON.exe
PERSFW.exe
pop3trap.exe
PpPpWallRun.exe
program.exe
prot.exe
pview95.exe
ras.exe
Rav.exe
RAV7.exe
rav7win.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
regedit.exe
rescue32.exe
Rfw.exe
rn.exe
safeboxTray.exe
safeweb.exe
scam32.exe
scan.exe
SCAN32.exe
SCANPM.exe
scon.exe
SCRSCAN.exe
secu.exe
SERV95.exe
sirc32.exe
SMC.exe
smtpsvc.exe
SPHINX.exe
spy.exe
SWEEP95.exe
symproxysvc.exe
TBSCAN.exe
TCA.exe
TDS2-98.exe
TDS2-NT.exe
Tmntsrv.exe
TMOAgent.exe
tmproxy.exe
tmupdito.exe
TSC.exe
UlibCfg.exe
vavrunr.exe
VET95.exe
VETTRAY.exe
vir.exe
VPC32.exe
VSECOMR.exe
vshwin32.exe
VSSCAN40
vsstat.exe
WEBSCAN.exe
WEBSCANX.exe
webtrap.exe
WFINDV32.exe
windows优化大师.exe
wink.exe
zonealarm.exe
生成随机名批处理文件“45869415.bat”,实现自删除,批处理如下:
| |
:Repeat
del /f "C:\Sample.exe"
if exist " C:\Sample.exe " goto Repeat
del /f "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\45869415.bat" |
|
驱动文件“Nskhelper2.sys”加载后,将恢复系统SSDT表,使部分安全软件主动防御功能失效,并关闭指定杀毒软件进程。
被注入后的“svchost.exe”将在各本地磁盘根目录生成“autorun.inf”配置文件与“dll390.dll”相同的数据文件“system.dll”,使用户打开磁盘后通过rundll32.exe加载“system.dll”;“autorun.inf”内容如下:
| |
[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore |
|
修改“%SystemRoot%\system32\drivers\etc”文件夹下的“hosts”文件,将以下安全厂商站点指向“127.0.0.1”,HOST文件如下:
127.0.0.1 www.360.cn
127.0.0.1 www.360safe.cn
127.0.0.1 www.360safe.com
127.0.0.1 www.chinakv.com
127.0.0.1 www.rising.com.cn
127.0.0.1 rising.com.cn
127.0.0.1 dl.jiangmin.com
127.0.0.1 jiangmin.com
127.0.0.1 www.jiangmin.com
127.0.0.1 www.duba.net
127.0.0.1 www.eset.com.cn
127.0.0.1 www.nod32.com
127.0.0.1 shadu.duba.net
127.0.0.1 union.kingsoft.com
127.0.0.1 www.kaspersky.com.cn
127.0.0.1 kaspersky.com.cn
127.0.0.1 virustotal.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.cnnod32.cn
127.0.0.1 www.lanniao.org
127.0.0.1 www.nod32club.com
127.0.0.1 www.dswlab.com
127.0.0.1 bbs.sucop.com
127.0.0.1 www.virustotal.com
127.0.0.1 tool.ikaka.com
127.0.0.1 360.qihoo.com
访问网络,下载“http://biao.dj**4455.cn/number/list.txt”,存储至“%Temp%”文件夹,重命名为随机文件名,读取文件列表,下载后运行。
连接网络,访问网络“http://www.xxx.com/count.asp”,按照格式“mac=*&os=*&ver=*&temp=*&key=*”,上传本机网卡MAC地址,操作系统及其版本等信息进行感染统计。
在系统目录“%SystemRoot%\system32”生成“appwinproc.dll”, “appwinproc.dll”加载后,将进行辅助关闭安全软件进程的工作。
根据机器狗读写物理磁盘原理,在“%SystemRoot%\system32\”文件夹下生成五个驱动文件“NsPass0.sys”、“ NsPass1.sys”、“ NsPass2.sys”、“ NsPass3.sys”、“ NsPass4.sys”。分别针对“%SystemRoot%\system32\”文件夹下的“schedsvc.dll”、 “appmgmts.dll”、 “srsvc.dll”、 “w32time.dll”、 “wiaservc.dll”五个文件进行改写,写入“dll390.dll”的代码,使以上文件相对应的系统服务 “Task Scheduler”、 “Application Management”、“System Restore Service”、 “Windows Time” 、“Windows Image Acquisition ”启动时先启动病毒,且同时保障了系统服务的正常加载。
病毒还将尝试扫描本机网段内的其他机器,扫描成功后将在“%Temp%”文件夹内生成一个随机文件名的动态库文件,使用“rundll32.exe”将其加载,利用近期爆出的“MS-08067”漏洞,尝试溢出局域网其他计算机,进行病毒传播。
