微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 病毒快报 » 恶意程序Malware.Win32.Deceiver.g  

作者:
标题: 恶意程序Malware.Win32.Deceiver.g
pioneer
超级版主




积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
#1  恶意程序Malware.Win32.Deceiver.g

Malware.Win32.Deceiver.g

捕获时间

2008-07-16

病毒摘要

该样本是使用VC编写的恶意程序,由微点主动防御软件自动捕获,采用加壳方式试图躲避特征码扫描,加壳后长度为1,477,120字节,图标为
,使用 exe扩展名,通过恶意网页自动下载、下载器下载等方式进行传播,借助“反病毒软件”旗号以欺骗用户的方式获取不正当利益。

感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页木马、文件捆绑

安全提示

  已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);




  如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"Malware.Win32.Deceiver.g”,请直接选择删除(如图2)。




    对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
3、开启windows自动更新,及时打好漏洞补丁。

※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
2008-7-16 16:23
查看资料  发短消息   编辑帖子
pioneer
超级版主




积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
#2  

病毒分析
该样本程序被执行后,拷贝自身到%ProgramFiles%\Antispyware 2008目录下,重命名为Antispyware-2008.exe,并在同一目录下释放辅助文件;在桌面上创建名为“Antispyware-2008.lnk”的快捷方式,在%USERPROFILE%\「开始」菜单\程序\Antispyware 2008\目录下创建快捷方式Antispyware-2008.lnk,在%USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick Launch\目录下创建快捷方式Antispyware-2008.lnk;修改如下注册表自启动项以达到随机自启动的目的:

  Quote:
项:HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
健值:Antispyware-2008.exe
指向数据:%ProgramFiles%\Antispyware 2008\Antispyware-2008.exe

运行该样本主程序Antispyware-2008.exe,弹出模拟杀毒的界面后,从自身硬编码中随机抽取如下文件路径名、所对应的病毒名称以及风险等级并将其显示出。

被硬编码的文件路径及其病毒名:

  Quote:
%System%\a.exe
Backdoor.Agobot.gen

C:\WINDOWS\system32\idd78f.tmp.exe
Porn-Dialer.Win32.IDialer.k

C:\WINDOWS\system32\syst032.exel
Trojan.Win32.Agent.brk

%User Profile%\Local Settings\Temp\ally.exe
Trojan-Proxy.Win32.Bobax.a

%System%\New WinZip File.exe
Email-Worm.Win32.Nyxem.e

%Documents and Settings%\%user%\Start Menu\Programs\Startup\RavMonE.exe
Trojan-Clicker.Win32.Tiny.a

%Windir%\jammer2nd.exe
Email-Worm.Win32.NetSky.aa

C:\Program Files\Britney Spears blowjob.jpg.exe
W32/Netsky-P

C:\WINDOWS\system32\drivers\ip6fw.sys
Troj/Pushdo-Gen

%System%\lsass.exe
Exploit.JS.Agent.bl

C:\WINDOWS\Visual Guard.exe
Worm.Win32.NetSky

%Temp%\svchost.exe
Trojan-IM.Win32.Faker.a

%System%\windata.exe
Backdoor.Netbus

%System%\RUNDL132.EXE
Trojan.BAT.AnitV.a

%System%\cmmon32.exe
Email-Worm.Win32.Scano.gen

C:\WINDOWS\xsearch.dll
Adware.Win32.Agent.rf

%System%\iexpl0re.exe
Email-Worm.Win32.Scano.bn

%System%\cmmon32.exe
Trojan-AOL.Win32.Buddy.a

%System%\Servere.exe
Trojan-Downloader.Win32.Small.hsl

C:\hellmsn.exe
W32/Mytob-Z

%Windir%\Visual Guard.exe
Email-Worm.Win32.NetSky.x

%WinDir%\system\angele\nergy.bat
Trojan-Dropper.JS.Bomgen.e

%WinDir%\rundl132.exe
Exploit.VBS.Phel.dd

%System%\mswinrun.exe
Trojan-PSW.Win32.Coced.220

%WinDir%\Zjc.bat
Worm.Win32.Bomzh.b

%Documents and Settings%\Application Data\hidn\hldrrr.exe
Email-Worm.Win32.NetSky.d

%Windir%\lsass.exe
Email-Worm.Win32.Mydoom.l

%Temp%\Naebi220.exe
Trojan-Downloader.VBS.Agent.bk

C:\WINDOWS\Config\PWS-LegMir.dll
Packed.Win32.NSAnti.r

%System%\Serveres.exe
Net-Worm.Win32.Mytob.q

C:\WINDOWS\system32\WarezP2P_DLC.exe
Packed.Win32.PolyCrypt.d

C:\MSMAPI.pwl
Trojan-PSW.VBS.Half

C:\WINDOWS\SYSTEM32\r2qfkspe.exe
W32/Strati-Gen

%Temp%\IEXPLORE.EXE
Backdoor.Win32.AckCmd

C:\WINDOWS\INSTALL.DLL
Spy.HTML.Paylap.b

%System%\DETER177\smss.exe
Trojan-Downloader.Win32.VB.bnp

C:\WINDOWS\Windows_Update.exe
Worm.Win32.NetBooster

%Temp%\ntldr.exe
Trojan-Dropper.Java.Xideo

%Documents and Settings%\Application Data\Hidn\hidn2.exe
Email-Worm.Win32.Bagle.gt

%System%\miprip.dll
Trojan-Dropper.Ichitaro.Tarodrop.e

%System%\WINSAVER.EXE
Trojan-Proxy.Win32.Agent.qm

%System%\EDialer.exe
Trojan-PSW.Win32.M2.14.a

%System%\data.exe
Trojan-Win32.Delf.abx

%Documents and Settings%\%user%\Start Menu\Programs\Startup\avp.exe
Trojan-Downloader.Win32.Diehard.ez


图1


图2


图3

该程序模拟杀毒完毕后,会弹出如图1所示窗口,显示当前系统中被随机抽取出的病毒名;当点击窗口上的“Remove All Spyware”按钮时,会弹出一个“提示用户去在线购买或注册”的对话框,并不定期地弹出如图2、图3所示的对话框,当用户点击窗口上的“Yes”或“Activate Antispyware 2008”按钮时,会弹出提示用户在线购买或注册的窗口,以此用来进行利益索取、欺骗用户。

[ Last edited by pioneer on 2008-7-16 at 16:30 ]

※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
2008-7-16 16:29
查看资料  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号