标题:
木马程序Trojan-Downloader.Win32.VB.dxh
[打印本页]
作者:
pioneer
时间:
2008-1-2 18:34
标题:
木马程序Trojan-Downloader.Win32.VB.dxh
病毒名称
Trojan-Downloader.Win32.VB.dxh
捕获时间
2008-1-2
病毒症状
该样本是一个使用VB编写的程序,程序采用nSPack 2.x加壳企图躲避特征码扫描,长度为48,478字节,图标为windows默认图标,病毒扩展名为exe,主要传播途径网页挂马、文件捆绑、黑客攻击。
病毒分析
该下载程序被激活后释放crrr.exe到%systemroot%\system32目录下,crrr.exe激活后释放soundman.exe、ineters.exe和notepde.exe文件到%systemroot%\system32目录下,并利用命令行删除自身;
试图用命令行关闭多种软件服务;
用命令行添加一个用户,并设置为管理员权限;
修改相关注册表键值使系统不显示隐藏文件;
添加注册表相关键值映向劫持ctfmon.exe文件来实现开机加载soundman.exe;
连接网络下载并运行多种病毒和木马。
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页挂马,文件捆绑,黑客攻击
安全提示
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”,请直接选择删除处理(如图1);
图1
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现“Trojan-Downloader.Win32.VB.dxh”,请直接选择删除(如图2)。
图2
对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、建议关闭U盘自动播放,具体操作步骤:开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
4、开启windows自动更新,及时打好漏洞补丁。
作者:
pioneer
时间:
2008-1-2 18:35
技术细节
病毒添加的注册表项:
项:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe
键值:Debugger
指向文件:%systemroot%\system32\SoundMan.exe
项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
键值:CheckedValue
数值:0
病毒试图停止的软件服务列表:
Wscsvc
Sharedaccess
KPfwSvc
KWatchsv
McShield
Norton AntiVirus Server
病毒远程连接的网址列表:
http://******/ku/msvbvm60.dll
http://******/tthh9/rav.jpg
http://******/tthh9
http://www.
******.org/dyndns/getip
http://******/tthh9/rav.jpg
http://******/tthh10
http://******/tthh9/gx.txt
http://******/tthh9
http://www.
******.cn/tthh9/gx.txt
http://www.
******.cn/tthh9
http://www.
******.cn/houtai/rccishu.txt
http://******/tongji/tongji/1.asp?mac=
http://******/tongji/getip.asp
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
