捕获时间
2009-1-24
病毒摘要
该样本是使用“VC ”编写的盗号木马,由微点主动防御软件自动捕获,采用“RLPack”加壳方式试图躲避特征码扫描,加壳后长度为“37,740 字节”,图标为“
”,病毒扩展名为“exe”,主要通过“网页木马”、“文件捆绑”的方式传播,病毒主要目的为下载大量病毒程序至用户主机。
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马、文件捆绑、下载器下载
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“Rootkit程序”,请直接选择删除处理(如图1);
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"Trojan-Downloader.Win32.Agent.amjj”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
3、开启windows自动更新,及时打好漏洞补丁。
病毒分析
该样本被执行后,将修改注册表,将自身设置为自启动项,相关注册表如下:
| |
键:“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager”
值:“PendingFileRenameOperations”
数据:“\??\C:\Sample.exe” |
|
释放驱动文件“Dogkiller.sys”至系统文件夹“%Temp%”
| |
键:“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DogKiller”
值:“Type”
数据:“Driver service”
值:“Start”
数据:“SERVICE DEMAND START”
值:“ImagePath”
数据:“\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\DogKiller.sys”
值:“DisplayName”
数据:“DogKiller” |
|
“Dogkiller.sys”为病毒作者编写的磁盘过滤驱动,服务创建成功后调用此服务,尝试对磁盘进行读写操作实现对“userinit.exe”文件的修改,等待下次重启后利用“userinit.exe”文件进行下载大量木马。
当“Dogkiller.sys”操作完成后,将删除“DogKiller.sys”文件,并调用API函数“SHDeleteKeyA”删除注册表中“DogKiller”服务相关项实现对该服务的清除,查询联网状态,访问下列指定的网址进行病毒自身统计:
| |
| “http://liebiao.****just.cn/liebiao/1/clcount/count.asp?mac=00c0****da87&ver=2008102001” |
|
访问下列指定网址的木马列表,进行下载木马并在下载后进行调用运行:
| |
| “http://liebiao.****just.cn/liebiao/1/down.txt” |
|
网址内容为:
| |
[file]
isfile=1
url1=http://av114.ring360.mo.cn/******111/1.exe
biaoji1=Testp1.exe
yanshi1=0.6
url2=http://av114.ring360.mo.cn/******111/2.exe
biaoji2=Testp2.exe
yanshi2=0.2
url3=http://av114.ring360.mo.cn/******111/3.exe
biaoji3=Testp3.exe
yanshi3=0.2
url4=http://av114.ring360.mo.cn/******111/4.exe
biaoji4=Testp4.exe
yanshi4=0.2
url5=http://av114.ring360.mo.cn/******111/5.exe
biaoji5=Testp5.exe
yanshi5=0.2
url6=http://av114.ring360.mo.cn/******111/6.exe
biaoji6=Testp6.exe
yanshi6=0.2
url7=http://av114.ring360.mo.cn/******111/7.exe
biaoji7=Testp7.exe
yanshi7=0.2
url8=http://av114.ring360.mo.cn/******111/8.exe
biaoji8=Testp8.exe
yanshi8=0.2
url9=http://av114.ring360.mo.cn/******111/9.exe
biaoji9=Testp9.exe
yanshi9=0.2
url10=http://av114.ring360.mo.cn/******111/10.exe
biaoji10=Testp10.exe
yanshi10=0.2
url11=http://av114.ring360.mo.cn/******111/11.exe
biaoji11=Testp11.exe
yanshi11=0.2
url12=http://av114.ring360.mo.cn/******111/12.exe
biaoji12=Testp12.exe
yanshi12=0.2
url13=http://av114.ring360.mo.cn/******111/13.exe
biaoji13=Testp13.exe
yanshi13=0.2
url14=http://av114.ring360.mo.cn/******111/14.exe
biaoji14=Testp14.exe
yanshi14=0.2
url15=http://av114.ring360.mo.cn/******111/15.exe
biaoji15=Testp15.exe
yanshi15=0.2
url16=http://av114.ring360.mo.cn/******111/16.exe
biaoji16=Testp16.exe
yanshi16=0.2
url17=http://av114.ring360.mo.cn/******111/17.exe
biaoji17=Testp17.exe
yanshi17=0.2
url18=http://av114.ring360.mo.cn/******111/18.exe
biaoji18=Testp18.exe
yanshi18=0.2
url19=http://av114.ring360.mo.cn/******111/19.exe
biaoji19=Testp19.exe
yanshi19=0.2
url20=http://av114.ring360.mo.cn/******111/20.exe
biaoji20=Testp20.exe
yanshi20=0.2
url21=http://av114.ring360.mo.cn/******111/21.exe
biaoji21=Testp21.exe
yanshi21=0.2
url22=http://av114.ring360.mo.cn/******111/22.exe
biaoji22=Testp22.exe
yanshi22=0.2
url23=http://av114.ring360.mo.cn/******111/23.exe
biaoji23=Testp23.exe
yanshi23=0.2
url24=http://av114.ring360.mo.cn/******111/24.exe
biaoji24=Testp24.exe
yanshi24=0.2
url25=http://av114.ring360.mo.cn/******111/25.exe
biaoji25=Testp25.exe
yanshi25=0.2
url26=http://av114.ring360.mo.cn/******111/26.exe
biaoji26=Testp26.exe
yanshi26=0.2
url27=http://av114.ring360.mo.cn/******111/27.exe
biaoji27=Testp27.exe
yanshi27=0.2
url28=http://av114.ring360.mo.cn/******111/28.exe
biaoji28=Testp28.exe
yanshi28=0.2
url29=http://av114.ring360.mo.cn/******111/29.exe
biaoji29=Testp29.exe
yanshi29=0.2
url30=http://av114.ring360.mo.cn/******111/30.exe
biaoji30=Testp30.exe
yanshi30=0.2
url31=http://av114.ring360.mo.cn/******111/31.exe
biaoji31=Testp31.exe
yanshi31=0.2
url32=http://av114.ring360.mo.cn/******111/32.exe
biaoji32=Testp32.exe
yanshi32=0.2
url33=http://av114.ring360.mo.cn/******111/33.exe
biaoji33=Testp33.exe
yanshi33=0.2
url34=http://av114.ring360.mo.cn/******111/34.exe
biaoji34=Testp34.exe
yanshi34=0.2
url35=http://av**.ring360.mo.cn/35.exe
biaoji35=Testp35.exe
yanshi35=0.2
url36=http://av**.ring360.mo.cn/36.exe
biaoji36=Testp36.exe
yanshi36=0.2
url37=http://av**.ring360.mo.cn/37.exe
biaoji37=Testp37.exe
yanshi37=0.2
url38=http://av**.ring360.mo.cn/38.exe
biaoji38=Testp38.exe
yanshi38=0.2
url39=http://av**.ring360.mo.cn/39.exe
biaoji39=Testp39.exe
yanshi39=0.2
url40=http://av**.ring360.mo.cn/40.exe
biaoji40=Testp40.exe
yanshi40=0.2
url41=http://av**.ring360.mo.cn/41.exe
biaoji41=Testp41.exe
yanshi41=0.2
url42=http://av**.ring360.mo.cn/42.exe
biaoji42=Testp42.exe
yanshi42=0.2
url43=http://av**.ring360.mo.cn/43.exe
biaoji43=Testp43.exe
yanshi43=0.2
url44=http://av**.ring360.mo.cn/44.exe
biaoji44=Testp44.exe
yanshi44=0.2
url45=http://av**.ring360.mo.cn/45.exe
biaoji45=Testp45.exe
yanshi45=0.2
url46=http://av**.ring360.mo.cn/46.exe
biaoji46=Testp46.exe
yanshi46=0.2
url47=http://av**.ring360.mo.cn/47.exe
biaoji47=Testp47.exe
yanshi47=0.2
url48=http://av**.ring360.mo.cn/48.exe
biaoji48=Testp48.exe
yanshi48=0.2
url49=http://av**.ring360.mo.cn/49.exe
biaoji49=Testp49.exe
yanshi49=0.2
url50=http://av**.ring360.mo.cn/50.exe
biaoji50=Testp50.exe
yanshi50=0.2
url51=http://av**.ring360.mo.cn/51.exe
biaoji51=Testp51.exe
yanshi51=0.2
url52=http://av**.ring360.mo.cn/52.exe
biaoji52=Testp52.exe
yanshi52=0.2
count=52 |
|
