首 页  |  微点新闻  |  业界动态  |  安全资讯  |  安全快报  |  产品信息  |  网络版首页
通行证  |  客服中心  |  微点社区  |  微点邮局  |  常见问题  |  在线订购  |  各地代理商
 

首页 > 最新病毒 > 正文
木马下载者Trojan-Downloader.Win32.Geral.h
来源:  2010-07-14 17:11:45

木马下载者

Trojan-Downloader.Win32.Geral.h

捕获时间

2010-7-14

危害等级



病毒症状

   该样本是使用“C”编写的下载者,用“NSPack”加壳,由微点主动防御软件自动捕获,长度为“42,657字节”,图标为,病毒扩展名为“exe”,主要通过“文件捆绑”、“网页挂马”、“下载器下载”等方式传播,病毒主要目的为下载恶意程序至用户主机运行。
 用户中毒后,会出现计算机及网络运行缓慢,安全软件无故关闭,各类软件、Windows无故报错,自动打开网页等现象

感染对象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

传播途径

文件捆绑、网页挂马、下载器下载

防范措施

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1)



图1 微点主动防御软件自动捕获未知病毒(未升级)


如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现木马"Trojan-Downloader.Win32.Geral.h”,请直接选择删除(如图2)。



图2   微点主动防御软件升级后截获已知病毒

未安装微点主动防御软件的手动解决办法:

1.手动删除以下文件:

%Temp%\cd644256.exe
%SystemRoot%\system32\jkaback.pak
%SystemRoot%\system32\drivers\ ApsHM88.sys

2.手动删除以下注册表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称:kav 数据:%SystemRoot%\system32\kav.exe
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ ApsHM88


变量声明:

%SystemDriver%       系统所在分区,通常为“C:\”
%SystemRoot%        WINDODWS所在目录,通常为“C:\Windows”
%Documents and Settings%  用户文档目录,通常为“C:\Documents and Settings”
%Temp%           临时文件夹,通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
%ProgramFiles%       系统程序默认安装目录,通常为:“C:\ProgramFiles”

病毒分析

(1)创建互斥体MLGBCAO,防止二次运行;
(2)释放病毒文件%Temp%\kcv.dat,遍历查找并结束AVP.exe、RavmonD.exe进程;
(3)释放文件tmp.hiv,设置自己为"SeRestorePrivilege"权限。调用RegRestoreKeyA函数将其写入注册表。
(4)释放驱动文件%ProgramFiles%\KAV\ApsHM88.sys,和驱动配置文件%ProgramFiles%\KAV\ ApsHM88.inf,调用相关函数加载该驱动,创建大量映像劫持。
(5)释放动态库文件ApsHM88.dll,以参数testall加载,装载为自己的dlL跟驱动,查找安全软件进程,并结束安全软件的进程。
(6)释放病毒文件%Temp%\cd644256.exe(随机)并执行,该文件执行后,提升自己为"SeDebugPrivilege"权限,设置注册表启动项,修改hosts文件。提交统计信息,下载病毒木马到本地执行。
(7)释放文件jkaback.pak,加载并运行;
(8)将自身命名为%systemroot%\system32\kav.exe,写入注册表实现自启动
   
病毒创建文件:

%Temp%\kcv.dat
%SystemDriver%tem.hiv
%ProgramFiles%\KAV\ ApsHM88.sys
%ProgramFiles%\KAV\ ApsHM88.inf
%ProgramFiles%\KAV\ ApsHM88.dll
%Temp%\cd644256.exe
%SystemRoot%\system32\jkaback.pak
%SystemRoot%\system32\drivers\ ApsHM88.sys

病毒创建注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称:kav
数据:%SystemRoot%\system32\kav.exe
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ ApsHM88

病毒访问网络:
  
http://mc12.***.com:18888/59/tj.asp
http://bb.***.com:18185/c/host.txt
免费体验
下  载
安装演示