微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 病毒快报 » 流氓下载器Trojan-Downloader.Win32.StartPage.k  

作者:
标题: 流氓下载器Trojan-Downloader.Win32.StartPage.k
pioneer
超级版主




积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
#1  流氓下载器Trojan-Downloader.Win32.StartPage.k

流氓下载器

Trojan-Downloader.Win32.StartPage.k

捕获时间

2010-9-07

危害等级



病毒症状

  该样本是使用“C/C++”编写的木马程序,由微点主动防御软件自动捕获,长度为“66,560”字节,图标为“”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播,病毒主要目的是下载并运行广告程序。
  用户中毒后,会出现系统运行缓慢,出现大量未知进程,桌面出现可疑图标,弹出广告窗口,主页被篡改等现象。

感染对象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

传播途径

文件捆绑、网页挂马、下载器下载

防范措施

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“可疑程序”,请直接选择删除处理(如图1)



图1 微点主动防御软件自动捕获未知病毒(未升级)




如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现木马"Trojan-Downloader.Win32.StartPage.k”,请直接选择删除(如图2)。



图2   微点主动防御软件升级后截获已知病毒



未安装微点主动防御软件的手动解决办法:

1、在任务管理器中找到进程228.tmp,找到其路径,并结束该进程
2、手动删除以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmcon
名称:ImagePath
数据:\??\C:\WINDOWS\DrvPt.sys
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.JE
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JE\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.IE
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IE\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\shell\
3、导入以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\command\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc850}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1f4de370-d627-11d1-ba4f-00a0c91eedba}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{20000000-0000-0000-0000-000000000000}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{1f4de370-d627-11d1-ba4f-00a0c91eedba}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\Instance\InitPropertyBag
4、将以下注册表项中的数据改回原数据:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
原数据:C:\Program Files\Internet Explorer\IEXPLORE.EXE
新数据:C:\Program Files\Internet Explorer\IEXPLORE.EXE http://dh.765321.info?1127311
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\DefaultIcon
原数据:%SystemRoot%\explorer.exe,-253
新数据:C:\Program Files\Internet Explorer\IEXPLORE.EXE
5、手动删除以下文件:
X\228.tmp(X为病毒所在路径)
%SystemRoot%\system32\tbhdz.ico
%SystemRoot%\DrvPt.sys
%SystemRoot%\VB.ini
%SystemRoot%\VC.ini
%Documents and Settings%\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.IE
%Documents and Settings%\All Users\桌面\Internet Explorer.IE
%Documents and Settings%\All Users\桌面\淘宝网.JE
6、使用磁盘修复工具修复磁盘主引导区

变量声明:

%SystemDriver%       系统所在分区,通常为“C:\”
%SystemRoot%        WINDODWS所在目录,通常为“C:\Windows”
%Documents and Settings%  用户文档目录,通常为“C:\Documents and Settings”
%Temp%           临时文件夹,通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
%ProgramFiles%       系统程序默认安装目录,通常为:“C:\ProgramFiles”

※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
2010-9-7 10:39
查看资料  发短消息   编辑帖子
pioneer
超级版主




积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
#2  

病毒分析

(1) 病毒获取自身文件名,将自身改名为228.tmp。完成后将属性设置为系统隐藏。
(2) 病毒建立线程。与“\\.\PHYSICALDRIVE0”通道建立连接以直接写入磁盘。
(3) 病毒写入磁盘主引导区,使病毒程序能够在开机后先于操作系统启动。
(4) 获取病毒源程序当前所在目录,在该目录下创建X\NAT.exe和X\ali.exe(X为病毒所在路径),并生成淘宝图标文件%SystemRoot%\system32\tbhdz.ico
(5) 设置X\ali.exe属性为系统隐藏,并运行。X\ali.exe读取自身资源,创建驱动文件%SystemRoot%\DrvPt.sys,并创建名为“dmcon”的服务项加载该驱动文件。
(6) X\ali.exe遍历进程,查找“360safe”、“360tray”、“360sd”,一旦发现,则创建通道“\\.\TesDrvPt”,通过该通道向驱动文件发送控制消息,从驱动层结束其进程。
(7) 完成后,病毒源程序删除X\ali.exe
(8) 病毒运行X\NAT.exe,并结束自身进程。
(9) X\NAT.exe创建线程,查找自身目录下名为228.tmp的病毒源程序。找到后将其删除,并将自身命名为228.tmp并设置为系统隐藏属性。
(10) X\NAT.exe创建线程,从指定网址下载配置文件到本地并存储为%SystemRoot%\VB.ini,并将其属性设置为系统隐藏。完成后访问指定网址。提交用户信息。
(11)X\NAT.exe创建线程,读取配置文件%SystemRoot%\VB.ini,从其指向的网址下载程序并执行。
(12)X\NAT.exe创建线程,建立名为“..TC..”的互斥量以免重复运行。从指定网址下载配置文件到本地并存储为%SystemRoot%\VC.ini,通过读取配置信息访问指定网络并弹出广告窗口。
(13)X\NAT.exe创建线程,提升自身权限。修改注册表,在桌面创建多个广告图标。并将系统设置为不显示隐藏文件并隐藏文件扩展名。
(14)创建名为“LockIE..”的互斥量,创建进程快照并查找各种主流浏览器的进程,一旦发现则注入浏览器,打开指定网址。

病毒创建文件:

X\NAT.exe(X为病毒所在路径)
X\ali.exe(X为病毒所在路径)
%SystemRoot%\system32\tbhdz.ico
%SystemRoot%\DrvPt.sys
X\228.tmp(X为病毒所在路径)
%SystemRoot%\VB.ini
%SystemRoot%\VC.ini
%Documents and Settings%\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.IE
%Documents and Settings%\All Users\桌面\Internet Explorer.IE
%Documents and Settings%\All Users\桌面\淘宝网.JE

病毒删除文件:

X\ali.exe(X为病毒所在路径)
X\NAT.exe(X为病毒所在路径)

病毒创建注册表:
  
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmcon
名称:ImagePath
数据:\??\C:\WINDOWS\DrvPt.sys

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.JE
数据:JE
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JE\DefaultIcon
数据:C:\WINDOWS\system32\tbhdz.ico
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JE\shell\open\command
数据:C:\Program Files\Internet Explorer\IEXPLORE.EXE http://www.laitao.info

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.IE
数据:IE
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IE\DefaultIcon
数据:shdoclc.dll,0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IE\shell\open\command
数据:C:\Program Files\Internet Explorer\IEXPLORE.EXE http://dh.765321.info?1127311

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\shell\OpenHomePage\Command
数据:C:\Program Files\Internet Explorer\IEXPLORE.EXE http://dh.765321.info?1127311

病毒删除注册表:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\command\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc850}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1f4de370-d627-11d1-ba4f-00a0c91eedba}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{20000000-0000-0000-0000-000000000000}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{C42EB5A1-0EED-E549-91B0-153485866016}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{20000000-0000-0000-0000-000000000000}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{1f4de370-d627-11d1-ba4f-00a0c91eedba}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\Instance\InitPropertyBag

病毒修改注册表:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
原数据:C:\Program Files\Internet Explorer\IEXPLORE.EXE
新数据:C:\Program Files\Internet Explorer\IEXPLORE.EXE http://dh.765321.info?1127311

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\DefaultIcon
原数据:%SystemRoot%\explorer.exe,-253
新数据:C:\Program Files\Internet Explorer\IEXPLORE.EXE

病毒访问网络:

http://dh.76***1.info?1127311
http://2.76***1.info:4321/sms/xxx5.ini
http://2.76***1.info:4321/sms/do.php?userid=000C2920A928&time=2010-8-12_16:44:16&msg=01704800520364&pauid=1127311
http://2.76***1.info:4321/sms/count.php?userid=000c2920a928
http://download.c***en.cn/setup/v5/c***en_setup_100201.exe
http://download.p***ve.com/P***(p***ve)jixia***13459_s.exe
http://60.173.10.28:4321/Y***ao***t_ma***ng.101.exe
http://2.76***1.info:4321/sms/xxx01.ini
http://js.cn***.com/ato.asp?webuserid=44669&did=83928&subid=0&exid=0&adid=0&encode=4XFHXEbJPi1n1rV5yxtZKrDsEu7%2bpRcRMIGqgv8D04qLfO5zLVaFwg%3d%3d&et=1
http://union1.5***n.com/union2/gg.do?action=click&a=22918&b=3730&c=66
http://union1.5***n.com/union2/gg.do?action=click&a=22918&b=3730&c=63

[ Last edited by pioneer on 2010-9-7 at 10:45 ]

※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
2010-9-7 10:41
查看资料  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号