木马下载者
Trojan-Downloader.Win32.Small.agsy
捕获时间
2012-02-26
危害等级
中
病毒症状
该样本是使用“Microsoft Visual C 6.0”编写的“木马下载器”,由微点主动防御软件自动捕获,长度为“25,024”字节,图标为“ ”,使用“exe”扩展名,通过文件捆绑、网页挂马、下载器下载等方式进行传播,病毒主要目的是指引用户计算机到黑客指定的URL地址去下载更多的病毒或木马后门文件并运行。
用户中毒后会出现电脑的运行速度变慢,杀软无故退出而不能启动,出现大量未知进程等现象。
感染对象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
传播途径
文件捆绑、网页挂马、下载器下载
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1)
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现木马"Trojan-Downloader.Win32.Small.agsy ”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
未安装微点主动防御软件的手动解决办法:
手动删除以下文件:
%SystemRoot%\Qedie\conime.exe
%Temp%\18672577.gif(文件名随机)
%SystemRoot%\Qedir\felaxega.exe(文件名随机)
%SystemRoot%\Qedir\vbyjhivh.exe(文件名随机)
%SystemRoot%\Qedir\rhrouxib.exe(文件名随机)
%SystemRoot%\Qedir\yhelxael.exe(文件名随机)
%SystemRoot%\Qedir\rhdfrqka.exe(文件名随机)
%SystemRoot%\Qedir\savwruvh.exe(文件名随机)
手动删除注册表项:
项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{AENGFU3AA-B933-11d2-9CBD-0000F87A369E}
键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{AENGFU3AA-B933-11d2-9CBD-0000F87A369E}\stubpath
变量声明:
%SystemDriver% 系统所在分区,通常为“C:\”
%SystemRoot% WINDODWS所在目录,通常为“C:\Windows”
%Documents and Settings% 用户文档目录,通常为“C:\Documents and Settings”
%Temp% 临时文件夹,通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
%ProgramFiles% 系统程序默认安装目录,通常为:“C:\ProgramFiles”
病毒分析:
1、创建一个名为"与他sdadasdasxsaxsad2324343fdsfdsgrrhthtu76656"的事件,以创建一个新的进程的方式打开样本。
2、判断样本路径是否为"C:\WINDOWS\Qedie\conime.exe",如果不是,则创建"c:\Program Files\933.txt"文件,保存样本的完整路径名。
3、在系统目录下创建“C:\WINDOWS\Qedie\”文件夹,将样本复制为"C:\WINDOWS\Qedie\conime.exe"。写入一些空字符,以改变文件的大小。
4、"C:\WINDOWS\Qedie\conime.exe"运行后,解析出网址http://sms.***.com:81/fc/01.gif,创建名为"XLXNDXS"的互斥体,防止文件二次运行。
5、创建两个线程,第一个线程:打开"c:\Program Files\933.txt",读取样本路径,然后将该文件和样本删除。
6、第二个线程:创建注册表项" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{AENGFU3AA-B933-11d2-9CBD-0000F87A369E}",创建键名为stubpath键值为C:\WINDOWS\Qedie\conime.exe的键,以达到开机自启动的目的。
7、打开网络连接:http://sms.***.com:81/fc/01.gif,获取数据写入"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\18672577.gif",从该文件中获取字符串,供解密下载木马的链接之用。
8、为存放下载的木马创建一个新的文件夹"C:\WINDOWS\Qedir\"。
9、遍历窗口,获取窗口的标题,分别对比“数据包”、“辐络军刀”、“抓包”、“监听”、“酷抓”、“嗅探”、“捕获”、“幽狗”、“监视”、“嗅觉”、“niff”、“网络探手”、“WPE”、“远程桌面”、“Version”、“Expert”、“Pack”、“Analyzer”、“WinNetCap”、“封包”、“Wireshark”、“木马辅”、“任务管理器”,若找到,则等待2秒,再重复查找,直到用户关闭相关窗口。
10、创建"C:\WINDOWS\Qedir\felaxega.exe"(文件名随机),从http://121.10.***:88/cc/101.exe下载数据保存到该文件中,以创建进程的方式运行。
11、重复13、14两个步骤,分别从http://121.10.**:88/tt/16.exe下载"C:\WINDOWS\Qedir\vbyjhivh.exe"(文件名随机),从http://121.10.***:88/tt/18.exe下载C:\WINDOWS\Qedir\rhrouxib.exe"(文件名随机),从http://121.10.***:88/tt/26.exe下载"C:\WINDOWS\Qedir\yhelxael.exe"(文件名随机), 从http://121.10.***:88/tt/29.exe下载"C:\WINDOWS\Qedir\rhdfrqka.exe"(文件名随机), 从http://121.10.***:88/cc/01.exe下载"C:\WINDOWS\Qedir\savwruvh.exe"(文件名随机),分别以创建进程的方式运行。
12、将"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\18672577.gif"文件删除。
13、获取本机的mac地址,获取用用户标识符,创建进程快照获取当前进程的数量,将信息发送到指定网址。
14、创建一个新的线程,循环删除该样本所下载的木马文件。
15、等待90分钟后,重复步骤11~18的动作。
病毒创建文件:
%SystemRoot%\Qedie\conime.exe
%ProgramFiles%\933.txt
%Temp%\18672577.gif(文件名随机)
%SystemRoot%\Qedir\felaxega.exe(文件名随机)
%SystemRoot%\Qedir\vbyjhivh.exe(文件名随机)
%SystemRoot%\Qedir\rhrouxib.exe(文件名随机)
%SystemRoot%\Qedir\yhelxael.exe(文件名随机)
%SystemRoot%\Qedir\rhdfrqka.exe(文件名随机)
%SystemRoot%\Qedir\savwruvh.exe(文件名随机)
病毒创建注册表:
项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{AENGFU3AA-B933-11d2-9CBD-0000F87A369E}
键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{AENGFU3AA-B933-11d2-9CBD-0000F87A369E}\stubpath
病毒删除文件:
%ProgramFiles%\933.txt
%Temp%\18672577.gif(文件名随机)
样本自身文件
病毒访问网络:
http://sms.***.com:81/fc/01.gif
http://121.10.***:88/cc/101.exe
http://121.10.***:88/tt/16.exe
http://121.10.***:88/tt/18.exe
http://121.10.***:88/tt/26.exe
http://121.10.***:88/tt/29.exe
http://121.10.***:88/cc/01.exe
|
