东方微点

流氓下载器Trojan-Downloader.Win32.StartPage.k

来源： 2010-09-07 10:49:00

流氓下载器

Trojan-Downloader.Win32.StartPage.k

捕获时间

2010-9-07

危害等级

中

病毒症状

该样本是使用“C/C ”编写的木马程序，由微点主动防御软件自动捕获，长度为“66,560”字节，图标为“”，病毒扩展名为“exe”，主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播，病毒主要目的是下载并运行广告程序。
　　用户中毒后，会出现系统运行缓慢，出现大量未知进程，桌面出现可疑图标，弹出广告窗口，主页被篡改等现象。

感染对象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

传播途径

文件捆绑、网页挂马、下载器下载

防范措施

已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“可疑程序”，请直接选择删除处理（如图1）

图1 微点主动防御软件自动捕获未知病毒（未升级）

如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现木马"Trojan-Downloader.Win32.StartPage.k”，请直接选择删除（如图2）。

图2 微点主动防御软件升级后截获已知病毒

未安装微点主动防御软件的手动解决办法：

1、在任务管理器中找到进程228.tmp，找到其路径，并结束该进程
2、手动删除以下注册表项：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmcon
名称：ImagePath
数据：\??\C:\WINDOWS\DrvPt.sys
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.JE
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JE\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.IE
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IE\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\shell\
3、导入以下注册表项：
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\command\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc850}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{1f4de370-d627-11d1-ba4f-00a0c91eedba}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{20000000-0000-0000-0000-000000000000}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Desktop\NameSpace\
{1f4de370-d627-11d1-ba4f-00a0c91eedba}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\Instance\InitPropertyBag
4、将以下注册表项中的数据改回原数据：
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
原数据：C:\Program Files\Internet Explorer\IEXPLORE.EXE
新数据：C:\Program Files\Internet Explorer\IEXPLORE.EXE http://dh.765321.info?1127311
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\DefaultIcon
原数据：%SystemRoot%\explorer.exe,-253
新数据：C:\Program Files\Internet Explorer\IEXPLORE.EXE
5、手动删除以下文件：
X\228.tmp（X为病毒所在路径）
%SystemRoot%\system32\tbhdz.ico
%SystemRoot%\DrvPt.sys
%SystemRoot%\VB.ini
%SystemRoot%\VC.ini
%Documents and Settings%\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.IE
%Documents and Settings%\All Users\桌面\Internet Explorer.IE
%Documents and Settings%\All Users\桌面\淘宝网.JE
6、使用磁盘修复工具修复磁盘主引导区

变量声明：

%SystemDriver%　　　　　　　系统所在分区，通常为“C:\”
%SystemRoot%　　　　　　　　WINDODWS所在目录，通常为“C:\Windows”
%Documents and Settings%　　用户文档目录，通常为“C:\Documents and Settings”
%Temp%　　　　　　　　　　　临时文件夹，通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
%ProgramFiles%　　　　　　　系统程序默认安装目录，通常为：“C:\ProgramFiles”

病毒分析

(1) 病毒获取自身文件名，将自身改名为228.tmp。完成后将属性设置为系统隐藏。
(2) 病毒建立线程。与“\\.\PHYSICALDRIVE0”通道建立连接以直接写入磁盘。
(3) 病毒写入磁盘主引导区，使病毒程序能够在开机后先于操作系统启动。
(4) 获取病毒源程序当前所在目录，在该目录下创建X\NAT.exe和X\ali.exe（X为病毒所在路径），并生成淘宝图标文件%SystemRoot%\system32\tbhdz.ico
(5) 设置X\ali.exe属性为系统隐藏，并运行。X\ali.exe读取自身资源，创建驱动文件%SystemRoot%\DrvPt.sys，并创建名为“dmcon”的服务项加载该驱动文件。
(6) X\ali.exe遍历进程，查找“360safe”、“360tray”、“360sd”，一旦发现，则创建通道“\\.\TesDrvPt”，通过该通道向驱动文件发送控制消息，从驱动层结束其进程。
(7) 完成后，病毒源程序删除X\ali.exe
(8) 病毒运行X\NAT.exe，并结束自身进程。
(9) X\NAT.exe创建线程，查找自身目录下名为228.tmp的病毒源程序。找到后将其删除，并将自身命名为228.tmp并设置为系统隐藏属性。
(10) X\NAT.exe创建线程，从指定网址下载配置文件到本地并存储为%SystemRoot%\VB.ini，并将其属性设置为系统隐藏。完成后访问指定网址。提交用户信息。
(11)X\NAT.exe创建线程，读取配置文件%SystemRoot%\VB.ini，从其指向的网址下载程序并执行。
(12)X\NAT.exe创建线程，建立名为“..TC..”的互斥量以免重复运行。从指定网址下载配置文件到本地并存储为%SystemRoot%\VC.ini，通过读取配置信息访问指定网络并弹出广告窗口。
(13)X\NAT.exe创建线程，提升自身权限。修改注册表，在桌面创建多个广告图标。并将系统设置为不显示隐藏文件并隐藏文件扩展名。
(14)创建名为“LockIE..”的互斥量，创建进程快照并查找各种主流浏览器的进程，一旦发现则注入浏览器，打开指定网址。

病毒创建文件：

X\NAT.exe（X为病毒所在路径）
X\ali.exe（X为病毒所在路径）
%SystemRoot%\system32\tbhdz.ico
%SystemRoot%\DrvPt.sys
X\228.tmp（X为病毒所在路径）
%SystemRoot%\VB.ini
%SystemRoot%\VC.ini
%Documents and Settings%\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.IE
%Documents and Settings%\All Users\桌面\Internet Explorer.IE
%Documents and Settings%\All Users\桌面\淘宝网.JE

病毒删除文件：

X\ali.exe（X为病毒所在路径）
X\NAT.exe（X为病毒所在路径）

病毒创建注册表：
　　
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmcon
名称：ImagePath
数据：\??\C:\WINDOWS\DrvPt.sys

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.JE
数据：JE
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JE\DefaultIcon
数据：C:\WINDOWS\system32\tbhdz.ico
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JE\shell\open\command
数据：C:\Program Files\Internet Explorer\IEXPLORE.EXE http://www.laitao.info

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.IE
数据：IE
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IE\DefaultIcon
数据：shdoclc.dll,0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IE\shell\open\command
数据：C:\Program Files\Internet Explorer\IEXPLORE.EXE http://dh.765321.info?1127311

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\shell\OpenHomePage\Command
数据：C:\Program Files\Internet Explorer\IEXPLORE.EXE http://dh.765321.info?1127311

病毒删除注册表：

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\command\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc850}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1f4de370-d627-11d1-ba4f-00a0c91eedba}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ {20000000-0000-0000-0000-000000000000}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\
NameSpace\{C42EB5A1-0EED-E549-91B0-153485866016}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\
NameSpace\{20000000-0000-0000-0000-000000000000}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\
NameSpace\{1f4de370-d627-11d1-ba4f-00a0c91eedba}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\Instance\InitPropertyBag

病毒修改注册表：

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
原数据：C:\Program Files\Internet Explorer\IEXPLORE.EXE
新数据：C:\Program Files\Internet Explorer\IEXPLORE.EXE http://dh.765321.info?1127311

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\DefaultIcon
原数据：%SystemRoot%\explorer.exe,-253
新数据：C:\Program Files\Internet Explorer\IEXPLORE.EXE

病毒访问网络：

http://dh.76***1.info?1127311
http://2.76***1.info:4321/sms/xxx5.ini
http://2.76***1.info:4321/sms/do.php?userid=000C2920A928&time=2010-8-12_16:44:16&msg=01704800520364&pauid=1127311
http://2.76***1.info:4321/sms/count.php?userid=000c2920a928
http://download.c***en.cn/setup/v5/c***en_setup_100201.exe
http://download.p***ve.com/P***(p***ve)jixia***13459_s.exe
http://60.173.10.28:4321/Y***ao***t_ma***ng.101.exe
http://2.76***1.info:4321/sms/xxx01.ini
http://js.cn***.com/ato.asp?webuserid=44669&did=83928&subid=0&exid=0&adid=0&encode=
4XFHXEbJPi1n1rV5yxtZKrDsEu7+pRcRMIGqgv8D04qLfO5zLVaFwg==&et=1
http://union1.5***n.com/union2/gg.do?action=click&a=22918&b=3730&c=66
http://union1.5***n.com/union2/gg.do?action=click&a=22918&b=3730&c=63

相关主题：

	没有相关主题

免费体验

		下　　载

		安装演示

最热点击