标题: 木马下载器Trojan-Downloader.Win32.Agent.affh [打印本页]

---

作者: pioneer     时间: 2008-7-21 15:55    标题: 木马下载器Trojan-Downloader.Win32.Agent.affh

Trojan-Downloader.Win32.Agent.affh

捕获时间

2008-07-21

病毒摘要

该样本是使用“VC”编写的下载者程序，由微点主动防御软件自动捕获，程序未加壳长度为“496,472字节”，使用被透明色填充的图片作为图标，使用“exe”的扩展名，主要通过“网页木马”、“文件捆绑”的方式传播，计算机中毒后会自动连接指定网址下载其他的病毒程序到本地执行。

感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页木马、文件捆绑

安全提示

　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”，请直接选择删除处理（如图1）；




　 如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现"Trojan-Downloader.Win32.Agent.affh”，请直接选择删除（如图2）。




    对于未使用微点主动防御软件的用户，微点反病毒专家建议：
1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
3、开启windows自动更新，及时打好漏洞补丁。

---

作者: pioneer     时间: 2008-7-21 15:56
病毒分析
该样本程序被执行后，在%ProgramFiles%\Common Files\System目录下释放病毒文件“directdb.exe”，修改文件属性为“隐藏”、“系统”；使用API函数“WinExec”运行该病毒程序。

当“directdb.exe”执行后，拷贝自身到%ProgramFiles%\Common Files\System\目录下，重命名为“wab32res.exe”；通过SCM写注册表，将病毒拷贝“wab32res.exe”注册成名为“Hello Download”的服务，并使用相关API函数启动该注册的服务。

Quote:

项：HKLM\SYSTEM\CurrentControlSet\Services\Hello Download\ 键值：DisplayName 指向数据：TCP/IP Check 项：HKLM\SYSTEM\CurrentControlSet\Services\Hello Download\ 键值：ImagePath 指向文件：%ProgramFiles%\Common Files\System\wab32res.exe 项：HKLM\SYSTEM\CurrentControlSet\Services\Hello Download\ 键值：Start 指向数据：02

服务启动后分别启动“IEXPLORE.EXE”与“notepad.exe”进程，申请内存空间将病毒部分代码写入，使用远程线程激活被写入的代码实现注入，以逃避常规杀毒软件的查杀，并访问恶意网站下载其他病毒程序到本地并运行。

[ Last edited by pioneer on 2008-7-21 at 15:58 ]

---

欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn