Board logo

标题: 木马下载器Trojan-Downloader.Win32.Agent.qgg [打印本页]
作者: pioneer     时间: 2008-6-13 18:58    标题: 木马下载器Trojan-Downloader.Win32.Agent.qgg

病毒名称

Trojan-Downloader.Win32.Agent.qgg

捕获时间

2008-06-13

病毒摘要

    该木马是使用VC编写的盗号木马程序,由微点主动防御软件自动捕获,采用Unpack方式加壳,长度为120,320字节,图标为 ,病毒扩展名为exe。病毒主要下载其它木马。

感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页,网络传播

安全提示

  已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);



  如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"Trojan-Downloader.Win32.Agent.qgg”,请直接选择删除(如图2)。



对于未使用微点主动防御软件的用户,微点反病毒专家建议

1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、建议关闭U盘自动播放,具体操作步骤:开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
4、开启windows自动更新,及时打好漏洞补丁。

[ Last edited by pioneer on 2008-6-13 at 19:13 ]
作者: pioneer     时间: 2008-6-13 19:09
病毒分析


病毒主程序exe

打开注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
创建以下子项达到映像文件劫持目的,以上文件不能再启动

  Quote:
avp.com
avp.exe
runiep.exe
PFW.exe
FYFireWall.exe
rfwmain.exe
rfwsrv.exe
KAVPF.exe
KPFW32.exe
nod32kui.exe
nod32.exe
Navapsvc.exe
Navapw32.exe
avconsol.exe
webscanx.exe
NPFMntor.exe
vsstat.exe
KPfwSvc.exe
Ras.exe
RavMonD.exe
mmsk.exe
WoptiClean.exe
QQKav.exe
QQDoctor.exe
EGHOST.exe
360Safe.exe
iparmo.exe
adam.exe
IceSword.exe
360rpt.exe
360tray.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.com
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
KAV32.exe
nod32krn.exe
PFWLiveUpdate.exe
QHSET.exe
RavMonD.exe
RavStub.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.EXE
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.exe
procexp.exe
OllyDBG.EXE
OllyICE.EXE
rfwstub.exe
RegTool.exe
rfwProxy.exe
RawCopy.exe
CCenter.exe

指向的值:0
创建文件:%SystemRoot%\system32\ jffday(六个随机英文字母)(驱动文件)
创建服务:
子键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ jffday
键值:DisplayName
指向数据:jffday(六个随机英文字母)
键值:ImagePath
指向数据:\??\C:\windows\system32\ jffday(六个随机英文字母)
键值:Start
指向数据:3
创建文件:%SystemRoot%\system32\jdjfla.dll(六个随机英文字母)(DLL文件)

驱动文件sys

病毒主体exe与%SystemRoot%\System32\jffday(驱动文件)通过以下控制码进行通信,使用不同方法来结束以下进程
控制代码0x228004:把CrackMe.sys文件的0x3074偏移位置填充零
控制代码0x228008:提取CrackMe.sys文件的0x1810这个位置的代码,作为函数运行
控制代码0x228010:得到进程ID,使用ZwTerminateProcess关闭进程
控制代码0x22E14B:恢复SSDT表,使某些安全软件失效
控制代码0x228014:向目标线程插入内核态APC,调用ZwTerminateProcess结束进程;
控制代码0x22800C:用函数NtOpenProcess打开进程,得到函数句柄,用函数ZwTerminateProcess结束进程

  Quote:
avp.com
avp.exe
runiep.exe
PFW.exe
FYFireWall.exe
rfwmain.exe
rfwsrv.exe
KAVPF.exe
KPFW32.exe
nod32kui.exe
nod32.exe
Navapsvc.exe
Navapw32.exe
avconsol.exe
webscanx.exe
NPFMntor.exe
vsstat.exe
KPfwSvc.exe
Ras.exe
RavMonD.exe
mmsk.exe
WoptiClean.exe
QQKav.exe
QQDoctor.exe
EGHOST.exe
360Safe.exe
iparmo.exe
adam.exe
IceSword.exe
360rpt.exe
360tray.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.com
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
KAV32.exe
nod32krn.exe
PFWLiveUpdate.exe
QHSET.exe
RavMonD.exe
RavStub.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.EXE
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.exe
procexp.exe
OllyDBG.EXE
OllyICE.EXE
rfwstub.exe
RegTool.exe
rfwProxy.exe
RawCopy.exe
CCenter.exe

DLL文件

使用SetWindowsHookEx这个函数实现系统全局映象动态库,实现进程代码注入
如果自己注入到iexplorer.exe,执行以下破坏
在API函数CreateFileA上挂钩,过滤掉文件名包含” Root#RCVYL”文件
在API函数URLDownloadToFileA上挂钩,当下载到本地文件的目录是 %temp%,不执行URLDownloadToFileA函数
下载列表http://ccc.*****ame.cn/txt.txt到本地%SystemRoot%\system32\bzzpm.log
从此列表下载文件:

  Quote:
http://cao.**2.com/cao/aa1.exe
http://cao1.**02.com/cao/aa2.exe
http://cao.**wo02.com/cao/aa3.exe
http://cao2.**wo02.com/cao/aa4.exe
http://cao3.**wo02.com/cao/aa5.exe
http://cao.**wo02.com/cao/aa6.exe
http://cao.**wo02.com/cao/aa7.exe
http://cao1.**wo02.com/cao/aa8.exe
http://cao1.**wo02.com/cao/aa9.exe
http://cao2.**wo02.com/cao/aa10.exe
http://cao3.**wo02.com/cao/aa11.exe
http://cao3.**wo02.com/cao/aa12.exe
http://cao3.**wo02.com/cao/aa13.exe
http://cao3.**wo02.com/cao/aa14.exe
http://cao3.**wo02.com/cao/aa15.exe
http://cao2.**wo02.com/cao/aa16.exe
http://cao2.**wo02.com/cao/aa17.exe
http://cao2.**wo02.com/cao/aa18.exe
http://cao2.**wo02.com/cao/aa19.exe
http://cao1.**wo02.com/cao/aa20.exe
http://cao1.**wo02.com/cao/aa21.exe
http://cao1.**wo02.com/cao/aa22.exe
http://cao.**wo02.com/cao/aa23.exe
http://cao.**wo02.com/cao/aa24.exe





欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn