» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 病毒快报 » 木马下载器Trojan-Downloader.Win32.Losabel.db   作者: 标题: 木马下载器Trojan-Downloader.Win32.Losabel.db pioneer 超级版主 积分 4563 发帖 4545 注册 2007-7-16 来自 BJ #1  木马下载器Trojan-Downloader.Win32.Losabel.db 病毒名称 Trojan-Downloader.Win32.Losabel.db 捕获时间 2008-3-7 病毒症状     该样本是使用Delphi编写的病毒程序，由微点主动防御软件自动捕获，采用NSpack加壳试图躲避杀毒软件特征码扫描，加壳后长度27,354字节，图标为Windows默认可执行文件图标，病毒扩展名为exe，主要的传播途径为网页挂马，文件捆绑，移动存储。 病毒分析     该样本程序被执行后，调用API函数CopyFileA拷贝自身到“％programfiles％\Common Files\System\”目录, “%programfiles%\Common Files\Microsoft Share\”目录和“%programfiles%”目录下，分别重命名为fkfhrra.exe,bydxsqj.exe,meex.exe，设置隐藏和系统属性；调用WinExec函数执行fkfhrra.exe后删除自身；fkfhrra.exe被执行后在“%programfiles%”目录下释放注册表储巢文件3.hiv，4.hiv作为病毒辅助文件；添加注册表启动项，使其能随系统一起启动；删除注册表相关键值使用户无法查看系统隐藏文件且无法进入安全模式；修改系统时间使部分杀软过期失效，以达到突破杀软的目的；遍历所有盘符，在其根目录下生成autorun.inf和yattsgm.exe，试图用Windows自动播放进行传播；使用映像劫持技术和修改文件名的方法使得大部分常用软件无法正常运行；搜索任务栏窗口，尝试结束任务管理器、IceWorld等进程查看工具以及部分调试器；删除“%SystemRoot%\system32\drivers\etc\hosts”，突破用户自设的IP防范措施，尝试连接网络后，调用API函数URLDownloadToFileA 从网络上下载多种木马病毒到本机并执行。 感染对象 Windows 2000/Windows XP/Windows 2003 传播途径 网页挂马，文件捆绑，移动存储 安全提示 　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理（如图1）； 如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现" Trojan-Downloader.Win32.Losabel.db”，请直接选择删除（如图2）。 对于未使用微点主动防御软件的用户，微点反病毒专家建议： 1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。 2、建议关闭U盘自动播放，具体操作步骤：开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。 3、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。 4、开启windows自动更新，及时打好漏洞补丁。 [ Last edited by pioneer on 2008-3-7 at 18:03 ] ※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※ 2008-3-7 17:59 pioneer 超级版主 积分 4563 发帖 4545 注册 2007-7-16 来自 BJ #2   技术细节 Autorun.inf内容为： [AutoRun] open=.exe shell\open=打开(&O) shell\open\Command=.exe shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\Command=.exe 病毒删除的注册表项： 项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 键值：AVP 指向文件：“********\avp.exe”   (“********”表示卡巴斯基安装路径) 项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ Advanced\Folder\Hidden\SHOWALL 键值：CheckedValue 数值： dword:00000001 项：HKLM\ SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} 项：HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} 项：HKLM\ SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} 项：HKLM\ SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} 病毒添加的注册表项： 项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 键值：aqetfjk 指向文件：“C:\Program Files\Common Files\System\fkfhrra.exe” 项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 键值：yattsgm 指向文件： “C:\Program Files\Common Files\Microsoft Shared\bydxsqj.exe” 映象截持的文件： pfw.exe,FYFireWall.exe,rfwsrv.exe,rfwmain.exe,KAVPF.exe,nod32kui.exe,KPFW32.exe,nod32.exe,Navapsvc.exe,Navapw32.exe,avconsol.exe,webscanx.exe,NPFMntor.exe,vsstat.exe,zjb.exe,KPfwSvc.exe,RavTask.exe,Rav.exe,RavMon.exe,mmsk.exe,WoptiClean.exe,QQKav.exe,QQDoctor.exe,EGHOST.exe,360Safe.exe,iparmo.exe,adam.exe,IceSword.exe,360rpt.exe,360tray.exe,AgentSvr.exe,AppSvc32.exe,autoruns.exe,avgrssvc.exe,AvMonitor.exe,CCenter.exe,ccSvcHst.exe,FileDsty.exe,FTCleanerShell.exe,HijackThis.exe,Iparmor.exe,isPwdSvc.exe,kabaload.exe,KASMain.exe,KASTask.exe,KAV32.exe,KAVDX.exe,KAVPFW.exe,KAVSetup.exe,KAVStart.exe,KISLnchr.exe,KMailMon.exe,KMFilter.exe,KPFW32X.exe,KRegEx.exe,KsLoader.exe,KvDetect.exe,KvfwMcl.exe,kvol.exe,kvolself.exe,KVSrvXP.exe,kvupload.exe,kvwsc.exe,KWatch.exe,KWatch9x.exe,KWatchX.exe,loaddll.exe,MagicSet.exe,mcconsol.exe,mmqczj.exe,nod32krn.exe,PFWLiveUpdate.exe,QHSET.exe,RavMonD.exe,RavStub.exe,RegClean.exe,rfwcfg.exe,RsAgent.exe,Rsaupd.exe,safelive.exe,irsetup.exe,scan32.exe,shcfg32.exe,SmartUp.exe,SREng.EXE,symlcsvc.exe,SysSafe.exe,TrojanDetector.exe,Trojanwall.exe,UIHost.exe,UmxAgent.exe,UmxAttachment.exe,UmxCfg.exe,UmxFwHlp.exe,UmxPol.exe,UpLive.exe,upiea.exe,AST.exe,ArSwp.exe,USBCleaner.exe,rstrui.exe,QQSC.exe,ghost.exe,AvastU3.exe等文件。 被修改文件名称的文件（文件名被修改为cngu*,其中*为小于100的正数）： svchost.exe,niu.exe,sbl.dll,wniapsvr.exe,shell.exe,shell.pci,csrss.exe,chost.exe,dream.exe,tasks.exe,forget.dll,systom.exe,ctfm0n.exe,native.exe,directx.exe,progmon.exe,internt.exe,SoftDll.exe,MySetup.exe,SocksA.exe,algssl.exe,plmmsbl.dll,servver.exe,chostbl.exe,lovesbl.dll,,netdde.exe,svrhostg.dll,wnipsvr.exe,Session.exe,algsrvs.exe,msfun80.exe,msime82.exe,msime80.exemsfir80.exe,fixfile.exe,MicrSoft.exe,WMDSINFO.dll,Mcshie1d.exe,Exp1orer.exe,snowfall.exe,compobj32.dll,snownClean.exe等文件。 下载木马病毒的地址： http://www.******.com/ReadDown.txt http://www.******.com/TDown1.exe ※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※ 2008-3-7 18:00 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号