微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 病毒快报 » 木马下载器Trojan-Downloader.Win32.Geral.cfh  

作者:
标题: 木马下载器Trojan-Downloader.Win32.Geral.cfh
pioneer
超级版主




积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
#1  木马下载器Trojan-Downloader.Win32.Geral.cfh

木马下载器

Trojan-Downloader.Win32.Geral.cfh

捕获时间

2010-12-07

危害等级



病毒症状

  该样本是使用“C/C++”编写的木马程序,由微点主动防御软件自动捕获,采用“UPX”加壳方式试图躲避特征码扫描,加壳后长度为“25,088”字节,图标为“”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播,病毒主要目的是下载病毒到本地运行。
  用户中毒后,会出现杀毒软件无故关闭,系统运行缓慢,出现大量可以进程等现象。

感染对象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

传播途径

文件捆绑、网页挂马、下载器下载

防范措施

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知间谍”,请直接选择删除处理(如图1)



图1 微点主动防御软件自动捕获未知病毒(未升级)



如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现木马"Trojan-Downloader.Win32.Geral.cfh”,请直接选择删除(如图2)。



图2   微点主动防御软件升级后截获已知病毒



未安装微点主动防御软件的手动解决办法:

1.结束可疑进程,并结束以下进程:
scvhost.exe
807062.exe(随机命名)
2.清空临时文件夹%Temp%并删除以下文件:
%SystemRoot%\system32\scvhost.exe
3.用正常的hosts文件替换%SystemRoot%\system32\drivers\etc\hosts
4.删除以下注册表值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称:360Soft
数据:C:\WINDOWS\system32\scvhost.exe

变量声明:

%SystemDriver%       系统所在分区,通常为“C:\”
%SystemRoot%        WINDODWS所在目录,通常为“C:\Windows”
%Documents and Settings%  用户文档目录,通常为“C:\Documents and Settings”
%Temp%           临时文件夹,通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
%ProgramFiles%       系统程序默认安装目录,通常为:“C:\ProgramFiles”

※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
2010-12-7 17:58
查看资料  发短消息   编辑帖子
pioneer
超级版主




积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
#2  

病毒分析

(1)病毒创建名为“TGmae...”,避免重复运行。
(2)获取自身路径,查看自身是否注入到%SystemRoot%\Explorer.exe中运行。
(3)若不是则获取自身运行进程句柄,提升自身权限。获取进程快照,查找ekrn.exe的进程。
(4)若发现则通过sc命令关闭并删除ekrn服务项。同时使用taskkill结束ekrn.exe和egui.exe两个进程。
(5)获取临时目录,并读取自身资源,创建动态链接库文件%Temp%\800750.dll(随机命名)
(6)病毒从命令行启动系统文件%SystemRoot%\system32\rundll32.exe,使其以“testall”为参数,加载%Temp%\800750.dll
(7)%Temp%\800750.dll获取系统路径,释放驱动文件%SystemRoot%\fonts\pci.sys
(8)成功后创建名为“acde”的服务项,加载该驱动文件并启动服务项。对应注册表项为:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\acde
名称:ImagePath
数值:\??\C:\WINDOWS\fonts\pci.sys

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\acde
名称:ImagePath
数值:\??\C:\WINDOWS\fonts\pci.sys
(9)建立设备“\\.\bbqqaacc”,利用该设备与驱动文件%SystemRoot%\fonts\pci.sys通信,试图从驱动层结束安全软件进程。完成后删除该驱动文件和对应的服务项注册表项
(10)病毒获取系统路径,创建文件%SystemRoot%\system32\807062.exe(随机命名),并启动该程序
(11)完成后病毒释放另一个驱动文件%SystemRoot%\system32\drivers\pcidump.sys,并为其创建注册表项,使其加载为名为“pcidump”的服务项。对应注册表项为:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
名称:ImagePath
数值:\??\C:\WINDOWS\system32\drivers\pcidump.sys

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump
名称:ImagePath
数值:\??\C:\WINDOWS\system32\drivers\pcidump.sys
(12)%SystemRoot%\system32\drivers\pcidump.sys会调用系统文件%SystemRoot%\system32\drivers\gm.dls将病毒注入到桌面进程%SystemRoot%\explorer.exe中运行。
(13)成功后病毒删除pcidump的服务项及驱动文件%SystemRoot%\system32\drivers\pcidump.sys
(14)病毒将自身复制为%SystemRoot%\system32\scvhost.exe伪装为系统文件。
(15)病毒在自身目录下创建批处理文件X\kl78a.bat(X为病毒所在目录),该批处理删除病毒和批处理。
(16)%Temp%\807062.exe创建名为“XETTETT......”的互斥量,避免重复运行。
(17)完成后提升自身权限,获取临时文件路径,将系统文件%SystemRoot%\system32\wininet.dll复制为%Temp%\ope1.tmp,并读取其中函数
(18)创建注册表值,将病毒复制得到的%SystemRoot%\system32\scvhost.exe加载为开机启动项。对应的注册表值为:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称:360Soft
数据:C:\WINDOWS\system32\scvhost.exe
(19)创建线程,反复获取窗口标题,一旦发现“Windows 文件保护”的标题就自动点击“确定”按钮。
(20)创建线程,到指定网址获取hosts文件,替换本地的%SystemRoot%\system32\drivers\etc\hosts文件,以实现对安全软件相关网站的屏蔽。
(21)创建线程,将本机mac地址和系统版本等信息发送至指定统计网站。
(22)到指定网址下载病毒列表到本地,并启动这些病毒。

病毒创建文件:

%Temp%\800750.dll(随机命名)
%SystemRoot%\fonts\pci.sys
%Temp%\807062.exe(随机命名)
%SystemRoot%\system32\drivers\pcidump.sys
X\kl78a.bat(X为病毒所在目录)
%SystemRoot%\system32\scvhost.exe

病毒删除文件:

%SystemRoot%\fonts\pci.sys
%SystemRoot%\system32\drivers\pcidump.sys
X\kl78a.bat(X为病毒所在目录)

病毒替换文件:

%SystemRoot%\system32\drivers\etc\hosts

病毒创建注册表:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\acde
名称:ImagePath
数值:\??\C:\WINDOWS\fonts\pci.sys

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\acde
名称:ImagePath
数值:\??\C:\WINDOWS\fonts\pci.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
名称:ImagePath
数值:\??\C:\WINDOWS\system32\drivers\pcidump.sys

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump
名称:ImagePath
数值:\??\C:\WINDOWS\system32\drivers\pcidump.sys

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称:360Soft
数据:C:\WINDOWS\system32\scvhost.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\acde
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\acde
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump

病毒访问网络:

http://ad.****.info:72/hosts.txt
http://Count.dn***.info:88/Count.asp
http://ad.****.info:72/ad.txt
http://dl.****.info:66/Ac01.js
http://dl.****.info:66/Ac02.js
http://dl.****.info:66/Ac03.js
http://dl.****.info:66/Ac04.js
http://dl.****.info:66/Ac05.js
http://dl.****.info:66/Ac06.js
http://dl.****.info:66/Ac07.js
http://dl.****.info:66/Ac08.js
http://dl.****.info:66/Ac09.js
http://dl.****.info:66/Ac10.js
http://dl.****.info:66/Ac11.js
http://dl.****.info:66/Ac12.js
http://dl.****.info:66/Ac13.js
http://dl.****.info:66/Ac14.js
http://dl.****.info:66/Ac15.js
http://dl.****.info:66/Ac16.js
http://dl.****.info:66/Ac17.js
http://dl.****.info:66/Ac18.js
http://dl.****.info:66/Ac19.js
http://dl.****.info:66/Ac20.js
http://dl.****.info:66/Ac21.js
http://dl.****.info:66/Ac22.js
http://dl.****.info:66/Ac23.js
http://dl.****.info:66/Ac24.js
http://dl.****.info:66/Ac25.js
http://dl.****.info:66/Ac26.js
http://dl.****.info:66/Ac27.js
http://dl.****.info:66/Ac28.js
http://dl.****.info:66/Ac29.js
http://dl.****.info:66/Ac30.js

※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
2010-12-7 18:00
查看资料  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号