木马下载器

Trojan-Downloader.Win32.Agent.bnfv

捕获时间

2010-12-02

危害等级

中

病毒症状

  该样本是使用“C/C ”编写的木马程序，由微点主动防御软件自动捕获，长度为“6,768”字节，图标为“”，病毒扩展名为“exe”，主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播，病毒主要目的是下载病毒木马至本机运行。
　　用户中毒后，会出现系统运行缓慢、存在大量未知可疑进程、系统重要资料丢失等现象。

感染对象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

传播途径

文件捆绑、网页挂马、下载器下载

1.手动结束进程calc.exe，之后结束路径为%SystemRoot%\Tasks\下的conime.exe进程以及其他的可疑进程
2.将正常注册表值导入到以下注册表路径处：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
名称：Userinit
数值：C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\Tasks\conime.exe
3.手动删除以下文件：
%SystemRoot%\Tasks\conime.exe

变量声明：

%SystemDriver%　　　　　　　系统所在分区，通常为“C:\”
%SystemRoot%　　　　　　　　WINDODWS所在目录，通常为“C:\Windows”
%Documents and Settings%　　用户文档目录，通常为“C:\Documents and Settings”
%Temp%　　　　　　　　　　　临时文件夹，通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
%ProgramFiles%　　　　　　　系统程序默认安装目录，通常为：“C:\ProgramFiles”
病毒分析

(1)病毒获取自身路径，与预先存入路径对比，查看自身路径是否为系统计划任务目录%SystemRoot%\Tasks中
(2)若不是则说明是首次运行，病毒删除%SystemRoot%\Tasks\conime.exe，以免影响自身运行。
(3)修改注册表项，以实现开机自启动。对应注册表值为：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
名称：Userinit
数值：C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\Tasks\conime.exe
(4)完成后将自身复制为%SystemRoot%\Tasks\conime.exe，以实现隐藏。
(5)成功后以隐藏窗口模式启动%SystemRoot%\Tasks\conime.exe
(6)病毒通过命令行以隐藏窗口模式打开计算器进程calc.exe，写入内存对计算器进程实现注入，用以监控病毒进程是否存在。一旦病毒进程被结束则重新启动病毒。
(7)%SystemRoot%\Tasks\conime.exe启动后，读取自身资源，从指定网址下载病毒列表到本地，存储为%SystemDriver%\boot
(8)通过读取%SystemDriver%\boot列表中的网址下载病毒文件到本机并运行，完成后删除%SystemDriver%\boot
(9)发送本机MAC地址和系统版本至黑客指定网址以便进行感染统计。
(10)建立循环，每隔20分钟重新获取列表并下载病毒，如是循环6次之后结束自身进程。

病毒创建文件：

%SystemRoot%\Tasks\conime.exe
%SystemDriver%\boot

病毒删除文件：

%SystemDriver%\boot

病毒修改注册表：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
名称：Userinit
数值：C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\Tasks\conime.exe

病毒访问网络：

http://www.playn***o.com/d.txt
http://nishi***.004.sz***.com/count/count.asp

木马下载器

Trojan-Downloader.Win32.Agent.bnfv

捕获时间

2010-12-02

危害等级

中

病毒症状

  该样本是使用“C/C ”编写的木马程序，由微点主动防御软件自动捕获，长度为“6,768”字节，图标为“”，病毒扩展名为“exe”，主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播，病毒主要目的是下载病毒木马至本机运行。
　　用户中毒后，会出现系统运行缓慢、存在大量未知可疑进程、系统重要资料丢失等现象。

感染对象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

传播途径

文件捆绑、网页挂马、下载器下载

1.手动结束进程calc.exe，之后结束路径为%SystemRoot%\Tasks\下的conime.exe进程以及其他的可疑进程
2.将正常注册表值导入到以下注册表路径处：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
名称：Userinit
数值：C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\Tasks\conime.exe
3.手动删除以下文件：
%SystemRoot%\Tasks\conime.exe

变量声明：

%SystemDriver%　　　　　　　系统所在分区，通常为“C:\”
%SystemRoot%　　　　　　　　WINDODWS所在目录，通常为“C:\Windows”
%Documents and Settings%　　用户文档目录，通常为“C:\Documents and Settings”
%Temp%　　　　　　　　　　　临时文件夹，通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
%ProgramFiles%　　　　　　　系统程序默认安装目录，通常为：“C:\ProgramFiles”
病毒分析

(1)病毒获取自身路径，与预先存入路径对比，查看自身路径是否为系统计划任务目录%SystemRoot%\Tasks中
(2)若不是则说明是首次运行，病毒删除%SystemRoot%\Tasks\conime.exe，以免影响自身运行。
(3)修改注册表项，以实现开机自启动。对应注册表值为：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
名称：Userinit
数值：C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\Tasks\conime.exe
(4)完成后将自身复制为%SystemRoot%\Tasks\conime.exe，以实现隐藏。
(5)成功后以隐藏窗口模式启动%SystemRoot%\Tasks\conime.exe
(6)病毒通过命令行以隐藏窗口模式打开计算器进程calc.exe，写入内存对计算器进程实现注入，用以监控病毒进程是否存在。一旦病毒进程被结束则重新启动病毒。
(7)%SystemRoot%\Tasks\conime.exe启动后，读取自身资源，从指定网址下载病毒列表到本地，存储为%SystemDriver%\boot
(8)通过读取%SystemDriver%\boot列表中的网址下载病毒文件到本机并运行，完成后删除%SystemDriver%\boot
(9)发送本机MAC地址和系统版本至黑客指定网址以便进行感染统计。
(10)建立循环，每隔20分钟重新获取列表并下载病毒，如是循环6次之后结束自身进程。

病毒创建文件：

%SystemRoot%\Tasks\conime.exe
%SystemDriver%\boot

病毒删除文件：

%SystemDriver%\boot

病毒修改注册表：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
名称：Userinit
数值：C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\Tasks\conime.exe

病毒访问网络：

http://www.playn***o.com/d.txt
http://nishi***.004.sz***.com/count/count.asp