捕获时间
2009-1-1
病毒摘要
该样本是使用“VC”编写的木马程序,由微点主动防御软件自动捕获,采用“Upack”加壳方式,企图躲过特征码扫描,长度为“39,252 字节”,图标为“
”,病毒扩展名为“exe”,主要通过“网页挂马”、“文件捆绑”、“诱骗用户点击”等方式传播,病毒主要目的通过多种手段赚取广告流量。
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马、文件捆绑、诱骗用户点击
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知间谍软件”,请直接选择删除处理(如图1);
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"Trojan.Win32.Agent.abxz”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
3、开启windows自动更新,及时打好漏洞补丁。
病毒分析
该样本程序被执行后,将遍历进程,查找是否存在“AVP.exe”,若存在则释放批处理文件“GoKaba.bat”至“%SystemRoot%\system32”文件夹,修改系统时间至“1987年10月18日”,批处理内容如下:
| |
@echo off
set date=趖e%
date 1987-10-18
ping -n 45 localhost > nul
date 趖e%
del %0 |
|
样本将利用批处理“ping -n 45 localhost > nul” 达到延时目的,延时完成后系统时间将被调回正常。期间将复制自身至“%SystemRoot%\system32”文件夹,重命名为“A135DED4.EXE”,复制自身至“%SystemRoot%\system32”文件夹,重命名为“A135DED4T.EXE”,修改注册表,将“A135DED4.EXE”设置为服务,相关注册表项如下:
| |
键:“[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\A135DED4]”
值:“Type”
数据:“SERVICE_WIN32_OWN_PROCESS”
值:“Start”
数据:“SERVICE_AUTO_START”
值:“ImagePath”
数据:“C:\WINDOWS\system32\A135DED4.EXE –service”
值:“DisplayName”
数据:“A135DED4” |
|
完成后样本将以参数“–service”启动“A135DED4.EXE”,删除“GoKaba.bat”,并生成批处理“delme.bet”实现自删除,相关批处理如下:
| |
@echo off
:selfkill
del /F /Q "C:\Sample.EXE"
exist "C:\Sample.EXE" goto selfkill
del %0 |
|
“A135DED4.EXE”启动后将生成动态库文件“A135DED4.DLL”至文件夹“%SystemRoot%\system32”,申请空间将动态库文件“A135DED4.DLL”注入至“winlogon.exe”并启动一线程。
“winlogon.exe” 将申请空间将动态库文件“A135DED4.DLL”注入至“explorer.exe”并启动一线程。访问网址:“http://www.zh****u8.com/chajian/update.txt”下载升级程序。
病毒将锁定IE主页,弹出各类广告窗口,劫持百度搜索引擎,实用户点击搜索结果时跳转至黑客指定的广告页面,并以隐藏方式安装“Alexa工具条”,遍历QQ、淘宝旺旺、MSN等聊天软件窗口,利用模拟点击方式发送广告信息,使用户主机不断出现广告,运行缓慢。
