东方微点

木马下载器Trojan-Downloader.Win32.AntiAV.f

来源： 2010-08-24 17:29:33

木马下载器

Trojan-Downloader.Win32.AntiAV.f

捕获时间

2010-8-24

危害等级

中

病毒症状

该样本是使用“C”编写的木马程序，由微点主动防御软件自动捕获，采用“UPack”加壳方式试图躲避特征码扫描,加壳后长度为“30,617”字节，图标为“”，病毒扩展名为“exe”，主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播，病毒主要目的是下载大量病毒并运行。
　　用户中毒后，会出现网络缓慢、杀毒软件无故退出或失效，出现大量未知进程、Windows系统运行缓慢和无故报错等现象。

感染对象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

传播途径

文件捆绑、网页挂马、下载器下载

防范措施

已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”，请直接选择删除处理（如图1）

图1 微点主动防御软件自动捕获未知病毒（未升级）

如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现木马"Trojan-Downloader.Win32.AntiAV.f”，请直接选择删除（如图2）。

图2 微点主动防御软件升级后截获已知病毒

未安装微点主动防御软件的手动解决办法：

1、拷贝相同版本的正常文件替换以下被修改文件：
%SystemRoot%\system32\drivers\etc\hosts
%SystemRoot%\system32\userinit.exe
2、手动删除以下文件：
%SystemRoot%\system32\scvhost.exe
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\kav32.exe（X为磁盘盘符）
X:\AUTORUN.INF（X为磁盘盘符）
%SystemRoot%\extext11607390t.exe（随机命名）
3、手动删除注册表项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称：RsTray
数据：C:\WINDOWS\system32\scvhost.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
下属所有映像劫持

变量声明：

%SystemDriver%　　　　　　　系统所在分区，通常为“C:\”
%SystemRoot%　　　　　　　　WINDODWS所在目录，通常为“C:\Windows”
%Documents and Settings%　　用户文档目录，通常为“C:\Documents and Settings”
%Temp%　　　　　　　　　　　临时文件夹，通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
%ProgramFiles%　　　　　　　系统程序默认安装目录，通常为：“C:\ProgramFiles”

病毒分析

(1) 病毒打开记事本程序，查找其窗口。若存在则发送关闭命令，以此检验系统运行环境是否正常。
(2) 调用命令行，禁用ESET NOD32的服务项，并结束相关进程：
“cmd /c sc config ekrn start= disabled”
“cmd.exe /c taskkill.exe /im ekrn.exe /f”
“cmd.exe /c taskkill.exe /im egui.exe /f”
(3) 获取系统路径，创建文件：%SystemRoot%\ee3402343t.dll（随机命名）。成功后创建进程，调用rundll32.exe以testall为参数来加载该动态链接库文件。
(4) %SystemRoot%\ee3402343t.dll获取自身自身权限信息，并将自身权限提升为SeDebugPrivilege权限。
(5) 调用sfc_os.dll库中的五号函数，解除Windows系统保护。成功后替换%SystemRoot%\system32\drivers\路径下的正常系统驱动文件AsyncMac.sys和aec.sys
(6)%SystemRoot%\system32\drivers\aec.sys恢复SSDT来解除安全软件建立的系统钩子。%SystemRoot%\system32\drivers\AsyncMac.sys则用来从驱动层结束安全软件进程。
(7)查找大量安全软件进程，一旦发现则立即结束。完成后建立所有查找的安全软件的映像劫持。查找的安全软件有：“360delays.exe”“KSWebShield.exe”“rssafety.exe”“LiveUpdate360.exe”“MPMon.exe”“MPSVC2.exe”“RegGuide.exe”“rfwsrv.exe”“DrUpdate.exe”“QQDoctorRtp.exe”“KWatch.exe”“Uplive.exe”“KAVStart.exe”“udaterui.exe”“McTray.exe”“SHSTAT.exe”“ccSvcHst.exe”“xcommsvr.exe”“vsserv.exe”“livesrv.exe”“bdagent.exe”“mcinsupd.exe”“mcshell.exe”“Framewor.exe”“kService.exe”“vstskmgr.exe”“mcagent.exe”“mcnasvc.exe”“mcmscsvc.exe”“mcsysmon.exe”“mfevtps.exe”“mcupdmgr.exe”“vptray.exe”“ccapp.exe”“rtvscan.exe”“defwatch.exe”“ccEvtMgr.exe”“ccSetMgr.exe”“KVSrvXP.exe”“KPFW32.exe”“engineserver.exe”“KavStart.exe”“kmailmon.exe”“KPfwSvc.exe”“KISSvc.exe”“MPSVC1.exe”“MPSVC.exe”“MpfSrv.exe”“naPrdMgr.exe”“rsnetsvr.exe”“mcshield.exe”“McProxy.exe”“QQDoctor.exe”“AgentSvr.exe”“RavScanFrm.exe”“RsTray.exe”“RavStub.exe”“CCenter.exe”“RavTask.exe”“RavMonD.exe”“RavMon.exe”“egui.exe”“mfeann.exe”“RsAgent.exe”“ekrn.exe”“antiarp.exe”“360tray.exe”“360Safebox.exe”“safeboxTray.exe”“avp.exe”
对应的映像劫持路径为：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
8) 删除所有开机启动项，
(9) 病毒源程序等待进程执行，执行完毕后删除%SystemRoot%\ee3402343t.dll文件
(10)创建线程，获取本地磁盘盘符并查看磁盘属性，发现本地磁盘或可移动存储器则创建文件夹X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\（X为磁盘盘符）并伪装成回收站，属性为只读系统隐藏。完成后将自身以kav32.exe为名称复制到该目录下。同时在磁盘根目录下创建X:\AUTORUN.INF（X为磁盘盘符）, 属性为只读系统隐藏，使得用户一旦打开对应磁盘，系统便会自动运行病毒程序。
(11) 病毒调用命令行关闭Windows安全控制中心和Intemet连接共享和防火墙服务。对应命令为：
“cmd /c net stop wscsvc”
“cmd /c net stop SharedAccess”
“cmd /c sc config sharedaccess start= disabled”
(12) 病毒创建文件%SystemRoot%\extext11607390t.exe（随机命名），创建成功后运行该程序。
(13) extext11607390t.exe创建名为“XETTETT......”的互斥体以免重复运行。提升自身权限，将%SystemRoot%\system32\scvhost.exe设为开机启动项。对应注册表值为：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称：RsTray
数据：C:\WINDOWS\system32\scvhost.exe
(14) 创建线程，从指定网址下载文档替换%SystemRoot%\system32\drivers\etc\hosts文件，用以屏蔽大量安全软件网址。
(15) 创建线程，连接黑客指定网站，并将用户系统版本网卡MAC地址等信息发送到该网站数据库中。
(16) 访问指定网址，下载大量病毒程序并运行。
(17) 病毒源程序获取系统路径，创建驱动文件%SystemRoot%\system32\drivers\pcidump.sys，完成后将其加载为服务项。将extext11607390t.exe的地址写入%SystemRoot%\system32\userinit.exe文件的地址空间，感染userinit.exe文件。之后，删除pcidump.sys和对应服务项
(18) 病毒将自身复制为%SystemRoot%\system32\scvhost.exe
(19) 病毒在自己所在路径下创建批处理文件X:\_temp.bat（X为病毒源程序所在路径），完成后运行该批处理删除病毒源程序和批处理自身。

病毒创建文件：

%SystemRoot%\ee3402343t.dll（随机命名）
%SystemRoot%\system32\drivers\aec.sys
%SystemRoot%\system32\drivers\AsyncMac.sys
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\kav32.exe（X为磁盘盘符）
X:\AUTORUN.INF（X为磁盘盘符）
%SystemRoot%\extext11607390t.exe（随机命名）
%SystemRoot%\system32\drivers\etc\hosts
%SystemRoot%\system32\drivers\pcidump.sys
%SystemRoot%\system32\scvhost.exe
X:\_temp.bat（X为病毒源程序所在路径）

病毒删除文件：

%SystemRoot%\ee3402343t.dll（随机命名）
%SystemRoot%\system32\drivers\aec.sys
%SystemRoot%\system32\drivers\AsyncMac.sys
%SystemRoot%\system32\drivers\pcidump.sys
X:\_temp.bat（X为病毒源程序所在路径）

病毒创建注册表：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aec
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AsyncMac
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safeboxTray.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safebox.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\antiarp.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsAgent.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mfeann.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsTray.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsScanFrm.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQDoctor.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\McProxy.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcshield.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rsnetsvr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\naPrdMgr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MpfSrv.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPSVC.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPSVC1.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KISSvc.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPfwSvc.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kmailmon.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KavStart.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\engineserver.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSetMgr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccEvtMgr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\defwatch.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rtvscan.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccapp.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vptray.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcupdmgr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mfevtps.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcsysmon.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcmscsvc.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcnasvc.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcagent.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vstskmgr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FrameworkService.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcshell.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcinsupd.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdagent.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\livesrv.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsserv.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\xcommsvr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SHSTAT.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\McTray.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\udaterui.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Uplive.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQDoctorRtp.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DrUpdate.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegGuide.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPSVC2.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPMon.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LiveUpdate360.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rssafety.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KSWebShield.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360delays.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称：RsTray
数据：C:\WINDOWS\system32\scvhost.exe

病毒删除注册表：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aec
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AsyncMac
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\（被清空）

病毒访问网络：

http://vv.kk***s.info:27788/qvod/host.txt
http://tj19.x9***s.com:2787/g1/tj.asp
http://xxx.fr***8888.com:26677/***.exe

相关主题：

	·我国科学家突破计算机反病毒技术微点主动防御计算机病毒技术世界 ·QQ盗号木马窃贼手法升级竟假冒QQ窗口 ·病毒凶猛 XP裸奔互联网仅存活4分钟！ ·传奇游戏盗号木马Trojan.Win32.Generic.plx ·木马下载者Trojan-Downloader.Win32.Geral.djt

免费体验

		下　　载

		安装演示

最热点击