木马下载者

Trojan-Downloader.Win32.Agent.bzj

捕获时间

2009-11-13

危害等级

中

病毒症状

　该样本是使用“C ”编写的“木马下载者”，由微点主动防御软件自动捕获，采用“UPX”加壳方式试图躲避特征码扫描,加壳后长度为28,160字节，图标为“
”， 使用“ exe”扩展名，通过网页木马、下载器下载的方式进行传播，病毒主要目的是下载病毒木马到本地执行。
用户中毒后，会出现杀毒软件进程无故退出且无法正常运行，系统以及网络运行缓慢，出现大量可疑进程等症状。

感染对象

Windows 2000/Windows XP/Windows 2003/Windows Vista

传播途径

网页挂马、文件捆绑、下载器下载

防范措施

已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”，请直接选择删除处理（如图1）；

图1 微点主动防御软件自动捕获未知病毒（未升级）

如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现"Trojan-Downloader.Win32.Agent.bzj”，请直接选择删除（如图2）。

图2   微点主动防御软件升级后截获已知病毒

未安装微点主动防御软件的手动解决办法：

1、手动删除以下文件：

%temp%\~418c6a.tmp
%temp%\~40cc09.tmp

2、手动删除以下注册表键：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccddc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\zx
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution\[安全软件]

3、手动恢复以下文件：

用同版本文件替换：

%SystemRoot%\system32\drivers\etc\hosts
%SystemRoot%\system32\userinit.exe

变量声明：

　　%SystemDriver%　　　　　　　系统所在分区，通常为“C:\”
　　%SystemRoot%　　　　　　　　WINDODWS所在目录，通常为“C:\Windows”
　　%Documents and Settings%　　用户文档目录，通常为“C:\Documents and Settings”
　　%Temp%　　　　　　　　　　　临时文件夹，通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
　　%ProgramFiles%　　　　　　　系统程序默认安装目录，通常为：“C:\ProgramFiles”

病毒分析

1.病毒运行后创建名称为"abcf"的互斥体，防止多次运行。
2.尝试打开"wscsvc"服务，如果成功，就停止"wscsvc"服务。
3.获取进程快照，查找如下进程rstray.exe
rsnetsvr.exe
ccenter.exe
scanfrm.exe
ravmond.exe
ravtask.exe
rsmain.exe
rfwsrv.exe
ras.exe
kavstart.exe
kissvc.exe
kamilmon.exe
kpfw32.exe
如果找到，就释放其内存，直至安全软件退出。
5.释放动态库文件~384fa9.t，遍历进查找
safeboxtray.exe
360tray.exe
360tray.exe
safeboxtray.exe
avp.exe，如果找到，就加载动态库~384fa9.t，在动态库中释放驱动文件，创建名称为"ccddc"的服务，结束安全软件进程，删除相关服务，创建安全软件映像劫持，最后删除动态库文件。
6.遍历进程查找ekrn.exe，找到就停止其服务，结束egui.exe和ekrn.exe进程。
7.释放并执行~418c6a.tmp，比较自己是否为"userinit.exe"，如果是就执行explorer.exe；如果不是就创建线程，遍历进程查找QQ.exe和cmd.exe，如果发现QQ.exe就访问网络，提交信息，如果发现cmd.exe就结束其进程。
8.下载病毒列表文件，根据列表下载病毒，调用WinExec执行病毒文件，修改hosts文件，将被感染机器网卡地址发送到指定网址。
9.释放驱动文件 ~6132c5.t，创建服务，感染userinit.exe，达到随系统启动的目的，删除驱动文件。
10.设置下次重启删除。

病毒创建文件：

%temp%\~384fa9.t
%temp%\~418c6a.tmp
%temp%\~40cc09.tmp
%temp%\ ~6132c5.t

病毒删除文件：

%temp%\~384fa9.t
%temp%\ ~6132c5.t

病毒修改文件：

%SystemRoot%\system32\drivers\etc\hosts
%SystemRoot%\system32\userinit.exe

病毒创建注册表：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccddc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\zx
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution\[安全软件]

病毒访问网络:

http://qq.****.cn/gogogo/getmac.asp
http://txt.****.com:88/text.txt
http://d.****.com:88/gr.exe
http://txt.****.com:88/ad.jpg