微点交流论坛
» 游客:  注册 | 登录 | 帮助

 

作者:
标题: 木马下载者Trojan-Downloader.Win32.Geral.cky
pioneer
超级版主




积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
#1  木马下载者Trojan-Downloader.Win32.Geral.cky

木马下载者

Trojan-Downloader.Win32.Geral.cky

捕获时间

2011-04-28

危害等级



病毒症状

  该样本是使用“C/C++”编写的木马程序,由微点主动防御软件自动捕获,采用"NsPack"加壳方式试图躲避特征码扫描,加壳后长度为“38,957”字节,图标为“”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播,病毒主要目的是结束本机杀软,下载大量病毒到本机运行。
  用户中毒后,会出现系统运行缓慢、存在大量未知可疑进程、杀软无故关闭及无法启动、系统重要资料丢失等现象。

感染对象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

传播途径

文件捆绑、网页挂马、下载器下载

防范措施

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知间谍”,请直接选择删除处理(如图1)



图1 微点主动防御软件自动捕获未知病毒(未升级)



如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现木马"Trojan-Downloader.Win32.Geral.cky”,请直接选择删除(如图2)。



图2   微点主动防御软件升级后截获已知病毒



未安装微点主动防御软件的手动解决办法:

1.手动清空本机临时文件夹。
2.删除以下注册表项,并删除指向的可执行文件:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称:updater
数据:C:\WINDOWS\system32\updater.exe
3.对全盘进行病毒查杀。

变量声明:

%SystemDriver%       系统所在分区,通常为“C:\”
%SystemRoot%        WINDODWS所在目录,通常为“C:\Windows”
%Documents and Settings%  用户文档目录,通常为“C:\Documents and Settings”
%Temp%           临时文件夹,通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
%ProgramFiles%       系统程序默认安装目录,通常为:“C:\ProgramFiles”

※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
2011-4-28 14:52
查看资料  发短消息   编辑帖子
pioneer
超级版主




积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
#2  

病毒分析

1.该样本运行后,获取自身进程id,通过创建本机进程快照获取自身进程的父进程id。
2.获取本机系统目录路径,在系统目录下释放动态链接库文件"killdll.dll"。
3.创建进程运行系统文件"rundll32.exe",通过附加命令的方式运行动态链接库文件"killdll.dll",接着休眠一段时间。
4.动态链接库文件"killdll.dll"被加载运行后,将自身进程提权到"SeDebugPrivilege"权限。
5.接着创建进程快照,查找进程名为"CCenter.exe"(瑞星杀软进程名),若该进程存在则删除系统文件"%SystemRoot%\system32\drivers\AsyncMac.sys",从"killdll.dll"模块资源中释放同名驱动文件,并创建服务加载该驱动,实现在底层结束一些流行杀软进程,同时通过运行命令方式关闭杀软所注册的服务;若"CCenter.exe"进程不存在,通过删除系统文件"%SystemRoot%\system32\drivers\aec.SYSaec.SYS",释放同名驱动文件并加载,实现关闭杀软的目的;最后并将释放的驱动文件删除。
6.获取本机临时目录文件夹,在该目录下释放可执行文件"~Frm.exe"并运行。
7."~Frm.exe"运行后获取自身文件路径,比较自身是否为"%SystemRoot%\system32\userinit.exe"。
8.若是则运行系统文件"%SystemRoot%\explorer.exe",接着执行步骤10。
9.若不是则添加开机启动注册表项,指向"%SystemRoot%\system32\updater.exe"对应以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称:updater
数据:C:\WINDOWS\system32\updater.exe
10.查找名为"TTXOOBBAACCDD"的全局原子,若存在则退出程序,不存在则创建该全局原子,防止程序重复运行。
11.在本机目录下释放名为"tmp.tmp"动态链接库文件,并创建名为"GameTexeTT.."的文件映射对象,用于远进程间的通讯。
12.创建进程运行系统文件"%SystemRoot%\system32\svchost.exe",并将动态链接库文件"tmp.tmp"注入到该进程中运行。
13."~Frm.exe"最后获取本机网卡信息,通过"收信空间"的方式将本机网卡信息发送给黑客,用以统计病毒感染统计。
14.动态链接库文件"tmp.tmp"被加载运行后,打开名为"GameTexeTT.."的文件映射对象,从中获取加密的下载地址信息。
15.从下载地址下载文本文件到本机临时目录下,并更名为"pctools.tmp"。
16.打开文本文件"pctools.tmp",从中获取大量病毒下载地址,下载病毒到本机临时目录文件夹下,更名为"XXXXX_xeex.exe"格式的名字,并运行。
17.释放驱动文件"system32\drivers\pcidump.sys",创建服务加载该驱动,该驱动加载后,修改系统文件"%SystemRoot%\system32\userint.exe",实现"~Frm.exe"文件的开机启动,完成后停止并删除驱动文件"pcidump.sys"。
18.最后在本机临时文件夹下创建批处理文件"_undelme.bat",删除病毒源文件及自身批处理。

病毒创建文件:

%SystemRoot%\system32\killdll.dll
%SystemRoot%\system32\drivers\AsyncMac.sys
%SystemRoot%\system32\drivers\aec.SYSaec.SYS
%SystemRoot%\system32\updater.exe
%Temp%\~Frm.exe
%Temp%\tmp.tmp
%Temp%\pctools.tmp
%Temp%\_undelme.bat

病毒删除文件:

%SystemRoot%\system32\killdll.dll
%SystemRoot%\system32\drivers\AsyncMac.sys
%SystemRoot%\system32\drivers\aec.SYSaec.SYS
%Temp%\_undelme.bat

病毒修改注册表:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称:updater
数据:C:\WINDOWS\system32\updater.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump
名称:ImagePath
数据:C:\WINDOWS\System32\drivers\pcidump.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
名称:ImagePath
数据:C:\WINDOWS\system32\drivers\AsyncMac.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
名称:ImagePath
数据:C:\WINDOWS\system32\drivers\aec.SYSaec.SYS

病毒访问网络:

http://www.ec***.asp?mac=00c029caae9c&xxx****
http://20.p***u.com:7***/1***.txt
http://xi***.pp***.com:7***/B***/d**.exe
http://xi***.pp***.com:7***/B***/rk02.exe
http://xi***.pp***.com:7***/B***/rk03.exe
http://xi***.pp***.com:7***/B***/wen***.exe
http://xi***.pp***.com:7***/B***/rk05.exe
http://xi***.pp***.com:7***/B***/qq.exe
http://xi***.pp***.com:7***/B***/rk06.exe
http://xi***.pp***.com:7***/B***/rk07.exe
http://xi***.pp***.com:7***/B***/rk08.exe
http://xi***.pp***.com:7***/B***/rk09.exe
http://xi***.pp***.com:7***/B***/rk10.exe
http://xi***.pp***.com:7***/B***/rk11.exe
http://xi***.pp***.com:7***/B***/rk12.exe
http://xi***.pp***.com:7***/B***/rk13.exe
http://xi***.pp***.com:7***/B***/r***.exe
http://xi***.pp***.com:7***/B***/rk15.exe
http://xi***.pp***.com:7***/B***/rk16.exe
http://xi***.pp***.com:7***/B***/rk17.exe
http://xi***.pp***.com:7***/B***/rk18.exe
http://xi***.pp***.com:7***/B***/rk19.exe
http://xi***.pp***.com:7***/B***/rk22.exe
http://xi***.pp***.com:7***/B***/rk24.exe
http://xi***.pp***.com:7***/B***/rk25.exe
http://xi***.pp***.com:7***/B***/g***.exe

※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
2011-4-28 14:53
查看资料  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]


北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号