微点交流论坛
» 游客:  注册 | 登录 | 帮助

 

作者:
标题: 木马下载者Trojan-Downloader.Win32.Small.agsy
pioneer
超级版主




积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
#1  木马下载者Trojan-Downloader.Win32.Small.agsy

木马下载者

Trojan-Downloader.Win32.Small.agsy

捕获时间

2012-02-26

危害等级



病毒症状

   该样本是使用“Microsoft Visual C++ 6.0”编写的“木马下载器”,由微点主动防御软件自动捕获,长度为“25,024”字节,图标为“”,使用“exe”扩展名,通过文件捆绑、网页挂马、下载器下载等方式进行传播,病毒主要目的是指引用户计算机到黑客指定的URL地址去下载更多的病毒或木马后门文件并运行。
   用户中毒后会出现电脑的运行速度变慢,杀软无故退出而不能启动,出现大量未知进程等现象。

感染对象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

传播途径

文件捆绑、网页挂马、下载器下载

防范措施

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1)


图1 微点主动防御软件自动捕获未知病毒(未升级)



如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现木马"Trojan-Downloader.Win32.Small.agsy ”,请直接选择删除(如图2)。


图2   微点主动防御软件升级后截获已知病毒



未安装微点主动防御软件的手动解决办法:

手动删除以下文件:

%SystemRoot%\Qedie\conime.exe
%Temp%\18672577.gif(文件名随机)
%SystemRoot%\Qedir\felaxega.exe(文件名随机)
%SystemRoot%\Qedir\vbyjhivh.exe(文件名随机)
%SystemRoot%\Qedir\rhrouxib.exe(文件名随机)
%SystemRoot%\Qedir\yhelxael.exe(文件名随机)
%SystemRoot%\Qedir\rhdfrqka.exe(文件名随机)
%SystemRoot%\Qedir\savwruvh.exe(文件名随机)

手动删除注册表项:

项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{AENGFU3AA-B933-11d2-9CBD-0000F87A369E}
键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{AENGFU3AA-B933-11d2-9CBD-0000F87A369E}\stubpath

变量声明:

  %SystemDriver%       系统所在分区,通常为“C:\”
  %SystemRoot%        WINDODWS所在目录,通常为“C:\Windows”
  %Documents and Settings%  用户文档目录,通常为“C:\Documents and Settings”
  %Temp%           临时文件夹,通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
  %ProgramFiles%       系统程序默认安装目录,通常为:“C:\ProgramFiles”

※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
2012-2-26 15:46
查看资料  发短消息   编辑帖子
pioneer
超级版主




积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
#2  

病毒分析:

1、创建一个名为"与他sdadasdasxsaxsad2324343fdsfdsgrrhthtu76656"的事件,以创建一个新的进程的方式打开样本。
2、判断样本路径是否为"C:\WINDOWS\Qedie\conime.exe",如果不是,则创建"c:\Program Files\933.txt"文件,保存样本的完整路径名。
3、在系统目录下创建“C:\WINDOWS\Qedie\”文件夹,将样本复制为"C:\WINDOWS\Qedie\conime.exe"。写入一些空字符,以改变文件的大小。
4、"C:\WINDOWS\Qedie\conime.exe"运行后,解析出网址http://sms.***.com:81/fc/01.gif,创建名为"XLXNDXS"的互斥体,防止文件二次运行。
5、创建两个线程,第一个线程:打开"c:\Program Files\933.txt",读取样本路径,然后将该文件和样本删除。
6、第二个线程:创建注册表项" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{AENGFU3AA-B933-11d2-9CBD-0000F87A369E}",创建键名为stubpath键值为C:\WINDOWS\Qedie\conime.exe的键,以达到开机自启动的目的。
7、打开网络连接:http://sms.***.com:81/fc/01.gif,获取数据写入"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\18672577.gif",从该文件中获取字符串,供解密下载木马的链接之用。
8、为存放下载的木马创建一个新的文件夹"C:\WINDOWS\Qedir\"。
9、遍历窗口,获取窗口的标题,分别对比“数据包”、“辐络军刀”、“抓包”、“监听”、“酷抓”、“嗅探”、“捕获”、“幽狗”、“监视”、“嗅觉”、“niff”、“网络探手”、“WPE”、“远程桌面”、“Version”、“Expert”、“Pack”、“Analyzer”、“WinNetCap”、“封包”、“Wireshark”、“木马辅”、“任务管理器”,若找到,则等待2秒,再重复查找,直到用户关闭相关窗口。
10、创建"C:\WINDOWS\Qedir\felaxega.exe"(文件名随机),从http://121.10.***:88/cc/101.exe下载数据保存到该文件中,以创建进程的方式运行。
11、重复13、14两个步骤,分别从http://121.10.**:88/tt/16.exe下载"C:\WINDOWS\Qedir\vbyjhivh.exe"(文件名随机),从http://121.10.***:88/tt/18.exe下载C:\WINDOWS\Qedir\rhrouxib.exe"(文件名随机),从http://121.10.***:88/tt/26.exe下载"C:\WINDOWS\Qedir\yhelxael.exe"(文件名随机), 从http://121.10.***:88/tt/29.exe下载"C:\WINDOWS\Qedir\rhdfrqka.exe"(文件名随机), 从http://121.10.***:88/cc/01.exe下载"C:\WINDOWS\Qedir\savwruvh.exe"(文件名随机),分别以创建进程的方式运行。
12、将"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\18672577.gif"文件删除。
13、获取本机的mac地址,获取用用户标识符,创建进程快照获取当前进程的数量,将信息发送到指定网址。
14、创建一个新的线程,循环删除该样本所下载的木马文件。
15、等待90分钟后,重复步骤11~18的动作。

病毒创建文件:

%SystemRoot%\Qedie\conime.exe
%ProgramFiles%\933.txt
%Temp%\18672577.gif(文件名随机)
%SystemRoot%\Qedir\felaxega.exe(文件名随机)
%SystemRoot%\Qedir\vbyjhivh.exe(文件名随机)
%SystemRoot%\Qedir\rhrouxib.exe(文件名随机)
%SystemRoot%\Qedir\yhelxael.exe(文件名随机)
%SystemRoot%\Qedir\rhdfrqka.exe(文件名随机)
%SystemRoot%\Qedir\savwruvh.exe(文件名随机)

病毒创建注册表:

项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{AENGFU3AA-B933-11d2-9CBD-0000F87A369E}
键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{AENGFU3AA-B933-11d2-9CBD-0000F87A369E}\stubpath

病毒删除文件:

%ProgramFiles%\933.txt
%Temp%\18672577.gif(文件名随机)
样本自身文件

病毒访问网络:

http://sms.***.com:81/fc/01.gif
http://121.10.***:88/cc/101.exe
http://121.10.***:88/tt/16.exe
http://121.10.***:88/tt/18.exe
http://121.10.***:88/tt/26.exe
http://121.10.***:88/tt/29.exe
http://121.10.***:88/cc/01.exe

[ Last edited by pioneer on 2012-2-26 at 15:50 ]

※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
2012-2-26 15:48
查看资料  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]


北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号