微点交流论坛 - 反病毒 - 转：Trojan-Downloader.Win32.Small.gkm分析

微点交流论坛 » 反病毒 » 转：Trojan-Downloader.Win32.Small.gkm分析

反病毒小菜
新手上路

积分 21
发帖 15
注册 2008-3-3

#1 转：Trojan-Downloader.Win32.Small.gkm分析

Trojan-Downloader.Win32.Small.gkm分析
病毒标签：
病毒名称： Trojan-Downloader.Win32.Small.gkm
病毒类型：下载者木马
文件 MD5： F81CE2B0F46CA9CED6558FDADFB45099
公开范围：完全公开
危害等级： 4
文件长度： 6,656 字节
感染系统： Windows98以上版本
开发工具： MASM

病毒描述：
　　该病毒为木马下载者病毒，病毒运行后获取系统文件夹路径，释放驱动文件到
%system32%\drivers\目录下，重命名为uuid.sys，等待加载驱动成功后将该驱动文件
删除，加载urlmon.dll调用urldownloadtofileaAPI函数，并隐藏创建IExplorer.exe
进程写入224字节数据连接网络下载文件，将下载后的文件保存到%Documents and
Settings%\当前所在用户\Local Settings\Temp目录下，重命名为：update.exe，并
自动运行该病毒文件，衍生病毒DLL文件到%Windir%目录下并重命名为：linkinfo.dll
并将其注入到Explorer.exe进程中，创建BAT文件删除自身，生成驱动文件%SystemRoot%
\system32\drivers\ IsDrv118.sys (加载后删除)，并调用ZwSetSystemInformation
加载驱动，病毒通过检查是否是在VMWare下运行，如果是直接关闭虚拟机，以此来防止自
己在虚拟机中被运行，从"%Windir%"目录开始感染所有磁盘中后缀名为"exe"的文件，病
毒在感染时，不感染"QQ"、"winnt"和"windows"目录下的程序文件，通过修改卡卡助手
的驱动"%system32%\drivers\RsBoot.sys"入口，使该驱动在加载时失败，枚举并尝试
向局域网中计算机的隐藏共享文件夹"%s\\IPC$"、"C$"等写入名称为"setup.exe"的病
毒源文件，尝试连接时使用"Administrator"作为用户名。

行为分析：

原样本行为分析：

本地行为：

1、文件运行后会释放以下文件:
　　　　%Documents and Settings%\当前所在用户
　　　　\Local Settings\Temp\update.exe 34,304 字节
　　　　%system32%\drivers\uuid.sys 4,224 字节

2、释放驱动文件到%system32%\drivers\目录下，重命名为uuid.sys，等待加载
　驱动成功后将该驱动文件删除。

3、加载urlmon.dll调用urldownloadtofileaAPI函数，并隐藏创建IExplorer.exe
　进程写入224字节数据连接网络下载文件，以达到穿防火墙的目的，将下载后的文
　件保存到%Documents and Settings%\当前所在用户\Local Settings\Temp目录
　下，重命名为：update.exe。

网络行为:　
　
　　　　连接网络下载病毒文件：
　　　　协议：TCP
　　　　域名或IP地址：http://ads.adslo****.info/ads/web.exe
　　　　(222.216.28.**)
　　　　端口：80

下载后的样本行为分析:

本地行为:

1、衍生病毒文件到以下文件夹:

　　　　%SystemRoot%\system32\drivers\IsDrv118.sys 　15,872 字节
　　　　%Windir%\linkinfo.dll 　　　　　　　　　　　　53,248 字节

2、衍生DLL文件到%Windir%目录下并重命名为：linkinfo.dll并将其注入到
　 Explorer.exe进程中，创建BAT文件删除自身。

3、生成驱动文件%SystemRoot%\system32\drivers\IsDrv118.sys(加载后删除)，
　并调用ZwSetSystemInformation加载驱动。

4、病毒通过检查是否是在VMWare下运行，如果是直接关闭虚拟机，以此来防止自己
　在虚拟机中被运行。

5、从"C:\"开始感染所有磁盘中后缀名为"exe"的文件。病毒在感染时，不感染
　 "QQ"、"winnt"和"windows"目录下的程序文件。

6、病毒通过修改卡卡助手的驱动"%system32%\drivers\RsBoot.sys"入口，使该
　驱动在加载时失败。

网络行为:

　枚举并尝试向局域网中计算机的隐藏共享文件夹"%s\\IPC$"、"C$"等写入名称
　为"setup.exe"的病毒源文件，尝试连接时使用"Administrator"作为用户名。

注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
　　
　　　　%Windir% 　　　　　　　　　　 WINDODWS所在目录
　　　　%DriveLetter%　　　　　　　　逻辑驱动器根目录
　　　　%ProgramFiles%　　　　　　　系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　　　　　　　　\当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是C:\Windows\System
　　　　windowsXP中默认的安装路径是C:\Windows\System32　　
　　　　　　　　

　　　　

--------------------------------------------------------------------------------
清除方案：
1 、使用安天防线2008可彻底清除此病毒(推荐)，
　　请到安天网站下载： www.antiy.com　
2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
　　 (1)使用ATOOL “进程管理”关闭病毒进程：
　　　结束Explorer.exe进程。
　　 (2)强行删除病毒文件：
　　　 %Documents and Settings%\当前所在用户
　　　 \Local Settings\Temp\update.exe
　　　 %system32%\drivers\uuid.sys
　　　 %SystemRoot%\system32\drivers\IsDrv118.sys
　　　 %Windir%\linkinfo.dll　

※ ※ ※ 本文纯属【反病毒小菜】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-5-16 09:08

反病毒小菜
新手上路

积分 21
发帖 15
注册 2008-3-3

#2 转自安天

作者：安天

http://www.newjian.com/zuixinbingdu/2008/0514/3094.html

※ ※ ※ 本文纯属【反病毒小菜】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-5-16 09:09

gudan
高级用户

积分 605
发帖 579
注册 2007-7-20

#3

%system32%
urldownloadtofilea
这些是什么
%temp%貌似可以省略很多字

还有马吉斯的行为不是这么几句话就可以说清的，枚举可移动存储释放boot.exe都没说

※ ※ ※ 本文纯属【gudan】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-5-16 20:22

反病毒小菜
新手上路

积分 21
发帖 15
注册 2008-3-3

#4 详见安天

Quote:

Originally posted by gudan at 2008-5-16 20:22:
%system32%
urldownloadtofilea
这些是什么
%temp%貌似可以省略很多字

还有马吉斯的行为不是这么几句话就可以说清的，枚举可移动存储释放boot.exe都没说

详见：

http://www.antiy.com/security/report/20080514.htm

※ ※ ※ 本文纯属【反病毒小菜】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-5-16 21:31

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号