木马下载者

Trojan-Downloader.Win32.Geral.dji

捕获时间

2012-10-30

危害等级

中

病毒症状

该样本是使用“C/C ”编写的“木马下载者”，由微点主动防御软件自动捕获,长度为“32,556”字节，图标为“
”，使用“exe”扩展名，通过移动存储、网页挂马、下载器下载等方式进行传播，病毒主要目的是恶意修改用户系统并下载更多的病毒或木马后门文件运行。

   用户中毒后会出现电脑的运行速度变慢，杀软无故退出而不能启动，出现大量未知进程等现象。


感染对象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

传播途径

文件捆绑、网页挂马、下载器下载

防范措施

已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”，请直接选择删除处理（如图1）

图1 微点主动防御软件自动捕获未知病毒（未升级）

如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现木马"Trojan-Downloader.Win32.Geral.dji”，请直接选择删除（如图2）。

图2   微点主动防御软件升级后截获已知病毒

未安装微点主动防御软件的手动解决办法：


1.手动停止并删除服务"auvo"

2.手动删除文件

"%ProgramFiles%\Common Files\rhdltecq\oioifz.pif"
"%SystemRoot%\system32\44.DEP（数字随机生成）"
"%SystemRoot%\system\ZeTz"
"%SystemRoot%\temp\onw.ini"
多个"%SystemDriver%\Documents and Settings\All Users\Documents\elsA.tmp（文件名随机）"
"移动磁盘根目录伪装为文件夹的exe文件"

3.修改注册表为正常值
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad\WebCheck"
"HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\<默认>"


变量声明：

　　%SystemDriver%　　　　　　　系统所在分区，通常为“C:\”
　　%SystemRoot%　　　　　　　　WINDODWS所在目录，通常为“C:\Windows”
　　%Documents and Settings%　　用户文档目录，通常为“C:\Documents and Settings”
　　%Temp%　　　　　　　　　　　临时文件夹，通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
　　%ProgramFiles%　　　　　　　系统程序默认安装目录，通常为：“C:\ProgramFiles”

病毒分析：

1.创建名字为"NYAONTAYTAXIAOKANWO"的互斥对象，防止重复运行。
2.获取系统进程列表，查找进程"ekrn.EXE"，找到则执行"sc.exe delete ekrn"、"taskkill.exe /im ekrn.exe /f"、"taskkill.exe /im egui.exe /f"等命令，结束杀软进程及服务。
3.创建目录"C:\Program Files\Common Files\rhdltecq"，并将自身拷贝重命名为"C:\Program Files\Common Files\rhdltecq\oioifz.pif"。
4.获取系统目录，创建文件"C:\WINDOWS\system32\44.DEP（数字随机生成）"，写入病毒数据，并加载该文件到当前进程地址空间，并调用其导出函数"Whaier"、"Simenze"。
5设置键值项"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad\WebCheck" = "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"、
设置键值项"HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\<默认>" = "C:\WINDOWS\system32\44.DEP"，实现病毒文件开机自启动。
6. "C:\WINDOWS\system32\44.DEP（数字随机生成）"加载执行之后：
（1）以隐藏的方式执行命令"cmd /c sc stop policyagent"，停止IPSEC安全策略服务。
并判断当前进程是否为"explorer.exe"，如果是则：
（2）创建文件"C:\WINDOWS\system\ZeTz"，写入病毒数据，创建名字为"auvo"的服务，执行映像指向"C:\WINDOWS\system\ZeTz"，之后启动此服务并删除文件"C:\WINDOWS\system\ZeTz"。
（3）与内核设备对象"\\.\XIAOJIUWO"通信，并试图破坏以下杀软或安全防护进程
"avp.EXE"、"ekrn.EXE"、"360rp.EXE"、"360tray.EXE"、"egui.EXE"、"nod32krn.EXE"、 "nod32kui.EXE"、"safeboxtray.EXE"、"360safebox.EXE"、"krnl360svc.EXE"、 "ZhuDongFangYu.EXE"、"360setupscan.EXE"、"RSTray.EXE"、"360sd.EXE"、 "360rps.EXE"、"360sdrun.EXE"、"360speedld.EXE"、"360leakfixer.EXE"、 "DumpUper.EXE"、"avgnt.EXE"、"avnotify.EXE"、"avguard.EXE"、"guardgui.EXE"、 "avwebgrd.EXE"、"sched.EXE"、"360safe.exe"、"mcshield.EXE"、"avfwsvc.EXE"、 "BacsTray.EXE"、"kasmain.EXE"、"kaccore.EXE"、"kastray.EXE"、"kudiskmon.EXE"、 "beikearpmain.EXE"、"beikearpsvc.EXE"、"beikescan.EXE"、"RsMgrSvc.EXE"、"kav.EXE"、 "RavMonD.EXE"、"kavstart.EXE"、"kwatch.EXE""kswebshield.exe"、"kxedefend.EXE"、 "kxesapp.EXE"、"kxeserv.EXE"、"kxetray.EXE"、"krepair.EXE"、"kpopserver.exe"、 "KVMonXP.EXE"、"KVSrvXP.EXE"、"KSafe.EXE"、"KSafeTray.EXE"、"KSafeSvc.EXE"、 "KANSvr.EXE"、"KANSGUI.EXE"、"QQDoctorRtp.exe"、"QQPCRTP.EXE"、"QQPCTray.EXE"、 "TSVulFWMan.EXE"、"QQPCMgr.EXE"、"Twister.EXE"、"avp.EXE"、"QQPCLeakScan.EXE"、 "qqpcmgr.exe"、"360quart.exe""360realpro.exe"，之后停止并删服务"auvo"。
（4）获取系统目录，下载文件"http://e.shidai****ian.com/s.gif"保存为"C:\WINDOWS\temp\onw.ini"。
（5）读取并解密"C:\WINDOWS\temp\onw.ini"中病毒网址信息，如"http://203.17*.23*.158:66/v/i42.rar"，下载该文件保存为"C:\Documents and Settings\All Users\Documents\elsA.tmp（文件名随机）"，之后以隐藏的方式执行该文件并删除url缓存文件。
（6）以同样的方式下载病毒文件并执行：
"http://203.17*.23*.158:66/v/s.rar"
"http://203.17*.23*.158:66/v/o2.rar"
"http://203.17*.23*.158:66/v/t.rar"
"http://203.17*.23*.158:66/v/p43.rar"，之后删除文件"C:\WINDOWS\temp\onw.ini"。
（7）枚举所以可移动磁盘，并将该磁盘根目录下所以文件夹隐藏，并将病毒文件"C:\Program Files\Common Files\rhdltecq\oioifz.pif"拷贝重命名为根目录下所以"文件夹名.exe"，睡眠30秒，重复执行该动作。

病毒创建文件：

"%ProgramFiles%\Common Files\rhdltecq\oioifz.pif"
"%SystemRoot%\system32\44.DEP（数字随机生成）"
"%SystemRoot%\system\ZeTz"
"%SystemRoot%\temp\onw.ini"
多个"%SystemDriver%\Documents and Settings\All Users\Documents\elsA.tmp（文件名随机）"
"移动磁盘根目录伪装为文件夹的exe文件"

病毒修改注册表：

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad\WebCheck"
"HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\<默认>"

病毒访问网络：

"http://e.shidai****ian.com/s.gif"
"http://203.17*.23*.158:66/v/i42.rar"
"http://203.17*.23*.158:66/v/s.rar"
"http://203.17*.23*.158:66/v/o2.rar"
"http://203.17*.23*.158:66/v/t.rar"
"http://203.17*.23*.158:66/v/p43.rar"