微点交流论坛
» 游客:  注册 | 登录 | 帮助

 

作者:
标题: AV杀手Trojan-Spy.Win32.KillAV.b
pioneer
超级版主




积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
#1  AV杀手Trojan-Spy.Win32.KillAV.b

病毒名称

Trojan-Spy.Win32.KillAV.b

捕获时间

2008-06-04

病毒摘要

    该木马是使用VC编写的盗号程序,由微点主动防御软件自动捕获,采用FSG加壳方式试图躲避特征码扫描,加壳后长度为58,368字节,图标为,病毒扩展名为exe,主要通过网页木马、文件捆绑方式传播,病毒映像劫持一百余种杀毒软件和防火墙,并下载其他病毒程序。

感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页挂马,文件捆绑

安全提示

  已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);



  如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"Trojan-Spy.Win32.KillAV.b”,请直接选择删除(如图2)。



  对于未使用微点主动防御软件的用户,微点反病毒专家建议
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
3、开启windows自动更新,及时打好漏洞补丁。

※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
2008-6-4 19:10
查看资料  发短消息   编辑帖子
pioneer
超级版主




积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
#2  

病毒分析

  该样本程序被执行后,通过映象劫持将大部分安全软件重定位到ntsd -d,当用户运行这些软件时会自动运行系统ntsd;

  Quote:
DrvAnti.exe
avp.com
avp.exe
runiep.exe
PFW.exe
FYFireWall.exe
rfwmain.exe
rfwsrv.exe
KAVPF.exe
KPFW32.exe
nod32kui.exe
nod32.exe
Navapsvc.exe
Navapw32.exe
avconsol.exe
webscanx.exe
NPFMntor.exe
vsstat.exe
KPfwSvc.exe
Ras.exe
RavMonD.exe
mmsk.exe
WoptiClean.exe
QQKav.exe
QQDoctor.exe
EGHOST.exe
360Safe.exe
iparmo.exe
adam.exe
IceSword.exe
360rpt.exe
360tray.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.com
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp.
KVSrvXP.exe
KVStub.kxp.
kvupload.exe
kvwsc.exe
KvXP.kxp...
KvXP_1.kxp.
KWatch.exe
KWatch9x.exe
KWatchX.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
KAV32.exe
nod32krn.exe
PFWLiveUpdate.exe
QHSET.exe
RavMonD.exe
RavStub.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.exe
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.exe
procexp.exe
OllyDBG.exe
OllyICE.exe
rfwstub.exe
RegTool.exe
rfwProxy.exe
RawCopy.exe
CCenter.exe
regedit.exe
filemon.exe
regmon.exe
AntiArp.exe
taskmgr.exe
GFUpd.exe
GFRing3.exe
GuardField.exe

在%SystemRoot%\system32目录下释放驱动文件******,调用SCM写注册表,将驱动程序******注册成与驱动文件同名的服务,通过相关API函数启动被注册的服务,驱动加载成功后,使用API函数DeleteFileA删除驱动文件******;驱动的作用是恢复SSDT表使部分安全软件监控失效,以及关闭安全软件进程。

  Quote:
项:HKLM\SYSTEM\CurrentControlSet\Services\******\
键值:DisplayName
指向数据: ******
键值:ImagePath
指向文件:%SystemRoot%\system32\******
键值:Start
指向数据:03

  遍历进程查找Explorer.exe,申请内存空间将动态库msosdohs**.dll写入,通过相关API函数激活病毒代码进行代码注入;之后向驱动程序msosmsfpfis64.sys发送控制信息用来保护自身;遍历进程查找xy2.exe(大话西游2)是否存在,如果存在把自己注入其中,之后使用函数ReadProcessMemory读取游戏信息;打开数据文件msosdohs.dat,读取其中的盗号者信息,通过HTTP协议将木马所截获信息发送到盗号者收信空间中。

  开启一线程遍历进程查找以上进程使用驱动程序将其关闭;在%SystemRoot%\system32目录下释放动态库wininnet.nls,修改文件属性为只读、隐藏和系统;使用API函数LoadLibraryA加载动态库wininnet.nls;以批处理的形式将病毒原文件删除;

  wininnet.nls加载运行后,试图通过全局钩子将动态库wininnet.nls注入到所有进程中;使用ping命令查看网络是否连通,如果连通则使用API函数URLDownloadToFileA将其他病毒程序下载到本地并运行。

※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
2008-6-4 19:13
查看资料  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]


北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号