下载者

Trojan-Downloader.Win32.Agent.bumi

捕获时间

2011-05-27

危害等级

中

病毒症状

  该样本是使用“VC ”编写的后门程序，由微点主动防御软件自动捕获，长度为“49,252 字节”，图标为“”，病毒扩展名为“.exe”，病毒主要通过“文件捆绑”、“下载器下载”，“网页挂马”等方式传播，病毒主要目的从指定网站下载病毒到用户计算机，用户中毒后，将访问大量黑客指定的网站，出现系统运行缓慢，网速变慢，出现大量未知进程。

感染对象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

传播途径

文件捆绑、网页挂马、下载器下载

防范措施

已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”，请直接选择删除处理（如图1）

图1 微点主动防御软件自动捕获未知病毒（未升级）

如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现木马"Trojan-Downloader.Win32.Agent.bumi”，请直接选择删除（如图2）。

图2   微点主动防御软件升级后截获已知病毒

未安装微点主动防御软件的手动解决办法：

手动删除以下文件
%SystemRoot%\system32\popupko.dll
%SystemRoot%\system32\cehProcessgy.dll
%SystemDriver%\wxclient

变量声明：

%SystemDriver%　　　　　　　系统所在分区，通常为“C:\”
%SystemRoot%　　　　　　　　WINDODWS所在目录，通常为“C:\Windows”
%Documents and Settings%　　用户文档目录，通常为“C:\Documents and Settings”
%Temp%　　　　　　　　　　　临时文件夹，通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
%ProgramFiles%　　　　　　　系统程序默认安装目录，通常为：“C:\ProgramFiles”

病毒分析：

(1)，判断自身是否为%SystemRoot%\conime.exe，如果不是，复制自身为%SystemRoot%\conime.exe,加载执行conime.exe,下载http://www.011**.com/11d.txt到%SystemDriver%\wxclient,获取%SystemDriver%\wxclient配置内容，根据配置内容下载大量未知木马到本机运行。
(2)，释放病毒代码到%Temp%\\332233404453.jpg(04453为随机)，修改其创建时间和修改时间。复制332233404453.jpg为%SystemRoot%\system32\popupko.dll，设置popupko.dll为隐藏属性，删除332233404453.jpg
(3)，创建%SystemDriver%\supe0d3ef5s1x4a5d7f.bat批处理文件，写入批处理命令rundll32.exe popupko.dll FunctionStart，创建进程执行批处理程序加载运行popupko.dll,删除%SystemDriver%\supe0d3ef5s1x4a5d7f.bat。
(4)，创建互斥量 cntest#32770防止病毒多次运行，创建系统进程快照，遍历查找cmd.exe，如果存在则强行终止此进程。
(5)，获取cehProcessgy.dll配置信息，创建线程，每隔一段时间打开黑客指定的网站，更新配置信息。

病毒创建文件：

%Temp%\\332233404453.jpg(04453为随机)
%SystemDriver%\wxclient
%SystemRoot%\system32\popupko.dll
%SystemRoot%\system32\cehProcessgy.dll

病毒访问网络:

http://www.011**.com/5.exe
http://www.*mall.com/
http://u.589**.com
http://www.suvvvs***.com/d.php?type=12&said=4349