ELEX下载者
Trojan-Downloader.Win32.Geral.a
捕获时间
2010-4-13
危害等级
中
病毒症状
该样本是使用“VC /C”编写的下载者类程序,由微点主动防御软件自动捕获,采用“Upack”加壳方式,加壳后长度为“14,364”字节,图标为“
”,使用“exe”扩展名,通过移动存储介质、文件捆绑、网页挂马、下载器下载等方式进行传播。病毒主要目的是下载安装病毒木马。
用户中毒后会出现杀软件无故退出,冰刃等安全工具无法打开,系统运行缓慢,出现大量未知进程等现象。
感染对象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
传染途径
网页挂马、文件捆绑、下载器下载
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马“,请直接选择删除处理(如图1);
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现木马"Trojan-Downloader.Win32.Geral.a”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
未安装微点主动防御软件的手动解决办法:
1.手动删除以下文件
%Temp%\nsb3.tmp
%SystemRoot%\linkinfo.dll
X:\autorun.inf
X:\ELEX.PIF
2.删除注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
下的大量安全相关软件的劫持项
3. 用正常的linkinfo.dll替换%SystemRoot%\linkinfo.dll
变量声明:
%SystemDriver% 系统所在分区,通常为“C:\”
%SystemRoot% WINDODWS所在目录,通常为“C:\Windows”
%Documents and Settings% 用户文档目录,通常为“C:\Documents and Settings”
%Temp% 临时文件夹,通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
%ProgramFiles% 系统程序默认安装目录,通常为:“C:\ProgramFiles”
病毒分析:
1.查找盘符根目录autorun.inf是否存在如果不存在则创建互斥体,提升自身权限,将自身设置为系统隐藏属性。并设置自身重启后删除。
2.在%Temp%目录释放nsb3.tmp (数字部分随机)。并加载运行。创建线程查找大时不时安全相关软件和工具是否在运行,如果找到,则试图
强制关闭其服务,终止进程,并破坏安全软件文件以及注册表信息使其不能运行。
3.并加载sfc_os.dll去除windows文件保护,将系统文件%SystemRoot%\linkinfo.dll重命名后将释放的临时文件%Temp%\nbs3.tmp替换系统
文件%SystemRoot%\linkinfo.dll
4.创建线程循环,遍历磁盘并在根目录生成autorun.inf,并将自身拷贝到根目录重名为ELEX.PIF。用户双击盘符时便运行病毒文件,该文件运行后会利用命令行打开双击盘符使用户无法察觉。
5.新生成的linkinfo.dll被加载运行后后创建线程从指定网址下载包含木马下载地址的文件并另存为%SystemRoot%\Fonts\bst.ini
6.创建线程循环改写注册表在注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
下建立大量安全相关软件的映像劫持像
7.创建线程查找冰刃等安全工具进程并关闭。
8,从包含病毒下载地址的bst.ini文件中读取病毒下载地址,下载大量病毒木马运行。
病毒创建文件:
%Temp%\nsb3.tmp
%SystemRoot%\linkinfo.dll
X:\autorun.inf
X:\ELEX.PIF
病毒创建注册表:
在注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
下建立大量安全相关软件的映像劫持
病毒访问网络:
http://h.dba**.com/s.txt
