» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 病毒快报 » 木马程序Trojan-Downloader.Win32.Losabel.ay   作者: 标题: 木马程序Trojan-Downloader.Win32.Losabel.ay pioneer 超级版主 积分 4563 发帖 4545 注册 2007-7-16 来自 BJ #1  木马程序Trojan-Downloader.Win32.Losabel.ay 病毒名称 Trojan-Downloader.Win32.Losabel.ay 捕获时间 2007-12-11 病毒症状       该样本程序是一个使用Delphi语言编写的下载程序，程序采用NsPacK V3.7 加壳企图躲过特征码扫描，长度27,649字节，图标为WINDOWS默认图标，病毒扩展名为exe，主要的传播途径为网页挂马，文件捆绑，移动存储。        病毒分析 该样本程序被激活后将自身复制3份到C:\Program Files\,C:\Program Files\Common Files\System\和C:\Program Files\Common Files\Microsoft Shared\下并重命名为meex.exe, lsamxxf.exe和wsdfvqi.exe后删除自身；通过添加注册表启动项已达到自启动的目的；使用映像劫持技术使得大部分杀软无法正常运行；删除注册表相关键值使用户无法查看隐藏文件；遍历所有盘符，在本地磁盘和可移动设备中生成autorun.inf和ytumvsj.exe文件，达到更大的传播范围。执行下载动作打开相关木马网页下载并运行多种病毒和木马。 感染对象 Windows 2000/Windows XP/Windows 2003 传播途径 网页挂马，文件捆绑，移动存储 安全提示 已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理（如图1）； 如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现“Trojan-Downloader.Win32.Losabel.ay”，请直接选择删除（如图2）。 未使用微点主动防御软件的用户：       1、专家建议不要在不明站点下载非官方版本的程序软件进行安装，以便病毒通过捆绑的方式进入您的系统；       2、建议关闭U盘自动播放，具体操作步骤：开始>运行>gpedit.msc>计算机配置>管理模板>系统>在右侧找到"关闭自动播放">双击>选择"已启用"。       3、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。       4、开启windows自动更新，及时打好漏洞补丁。      5、由于该病毒的特殊性，会导致某些杀毒软件无法正常运行，如果您的杀毒软件已经无法正常运行，您也可以尝试安装微点解决。 ※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※ 2007-12-11 18:53 pioneer 超级版主 积分 4563 发帖 4545 注册 2007-7-16 来自 BJ #2   技术细节 病毒删除主要的注册表项： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ 键值: CheckedValue 数值：1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden 键值: CheckedValue 数值：0 病毒添加主要的注册表项： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 键值：ytumvs 指向文件：C:\Program Files\Common Files\Microsoft Shared\wsdfvqi.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 键值：sagsbum 指向文件：C:\Program Files\Common Files\System\lsamxxf.exe 项：Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 键值：（修改映像劫持相关键值使得以下进程无法正常运行） runiep.exe PFW.exe FYFireWall.exe rfwmain.exe rfwsrv.exe KAVPF.exe KPFW32.exe nod32kui.exe nod32.exe Navapsvc.exe Navapw32.exe avconsol.exe webscanx.exe NPFMntor.exe vsstat.exe zjb.exe KPfwSvc.exe RavTask.exe Rav.exe RavMon.exe mmsk.exe WoptiClean.exe QQKav.exe QQDoctor.exe EGHOST.exe 360Safe.exe iparmo.exe adam.exe IceSword.exe 360rpt.exe 360tray.exe AgentSvr.exe AppSvc32.exe autoruns.exe avgrssvc.exe AvMonitor.exe CCenter.exe ccSvcHst.exe FileDsty.exe FTCleanerShell.exe HijackThis.exe Iparmor.exe isPwdSvc.exe kabaload.exe KASMain.exe KASTask.exe KAV32.exe KAVDX.exe KAVPFW.exe KAVSetup.exe KAVStart.exe KISLnchr.exe KMailMon.exe KMFilter.exe KPFW32X.exe KPFWSvc.exe KRegEx.exe KsLoader.exe KvDetect.exe KvfwMcl.exe kvol.exe kvolself.exe KVSrvXP.exe kvupload.exe kvwsc.exe KWatch.exe KWatch9x.exe KWatchX.exe loaddll.exe MagicSet.exe mcconsol.exe mmqczj.exe nod32krn.exe PFWLiveUpdate.exe QHSET.exe RavMonD.exe RavStub.exe RegClean.exe rfwcfg.exe RfwMain.exe RsAgent.exe Rsaupd.exe safelive.exe irsetup.exe scan32.exe shcfg32.exe SmartUp.exe SREng.EXE symlcsvc.exe SysSafe.exe TrojanDetector.exe Trojanwall.exe UIHost.exe UmxAgent.exe UmxAttachment.exe UmxCfg.exe UmxFwHlp.exe UmxPol.exe UpLive.exe upiea.exe AST.exe ArSwp.exe USBCleaner.exe rstrui.exe QQSC.exe ghost.exe AvastU3.exe [AutoRun] open=ytumvsj.exe shell\open=打开(&O) shell\open\Command=ytumvsj.exe shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\Command=ytumvsj.exe 木马下载地址如下： http://www.******.com/TDown1.exe http://www.******.com/ReadDown.txt [ Last edited by pioneer on 2007-12-11 at 10:59 ] ※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※ 2007-12-11 18:54 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号