超級av終結者
病毒名稱(中文):超級AV終結者
病毒名稱(英文全稱):Win32.TrojDownloader. NsPassT. bm.50688
病毒別名:要你命三千,對抗型大殺器,混血魔頭
威脅級別: ★★★☆☆
病毒類型:木馬下載器
病毒長度:50688
影響系統:Win9x WindowsMe WinNT Win2000 WinXP Win2003
一、 檔案分析
1)母體dll
導出函式explore
獲取ShellExecuteA,並調用”explorer open .”打開當前目錄。用於每個驅動器下打開目錄。
導出函式SchedServiceMain、ServiceMain、SvchostEntry_W32Time
a)檢測調試器:查找進程OllyICE.exe,OllyDbg.exe,ImportREC.exe,C32Asm.exe,LordPE.exe,PEditor.exe等進程,如果存在則退出,不存在則調用IsDebuggerPresent,檢測當前是否被調試,是的話退出。
b)創建NSDownLoader20Vip02互斥體。
c)關卡巴進程。
d)釋放資源102到%sys32dir%\Nskhelper2.sys,並創建服務NsRk1,啟動,來恢復SSDT。
e)掃描當前系統進程列表,發現有安全軟體進程,就調用驅動中的ZwTerminateProcess將它關閉。
二、進程列表
pccguide.exe ZONEALARM.exe zonealarm.exe wink.exe
windows最佳化大師.exe WFINDV32.exe webtrap.exe WEBSCANX.exe
WEBSCAN.exe vsstat.exe VSSCAN40 VSHWIN32.exe vshwin32.exe
VSECOMR.exe vpc32.exe vir.exe vettray.exe VET95.exe
vavrunr.exe UlibCfg.exe tsc.exe tmupdito.exe tmproxy.exe
TMOAgent.exe tmntsrv.exe TDS2-NT.exe TDS2-98.exe TCA.exe
TBSCAN.exe symproxysvc.exe SWEEP95.exe spy.exe
SPHINX.exe smtpsvc.exe SMC.exe sirc32.exe SERV95.exe
secu.exe SCRSCAN.exe scon.exe SCANPM.exe SCAN32.exe scan.exe
scam32.exe safeweb.exe safeboxTray.exe rn.exe Rfw.exe
rescue32.exe regedit.exe RavTask.exe RavStub.exe
RavMonD.exe RavMon.exe rav7win.exe RAV7.exe ras.exe
pview95.exe prot.exe program.exe PpPpWallRun.exe
pop3trap.exe PERSFW.exe PCFWALLICON.exe pccwin98.exe
pccmain.exe pcciomon.exe pccclient.exe pcc.exe PAVCL.exe
PADMIN.exe OUTPOST.exe office.exe NVC95.exe NUPGRADE.exe
norton.exe NORMIST.exe NMAIN.exe nisum.exe nisserv.exe
NAVWNT.exe navwnt.exe NAVW32.exe NAVW.exe NAVSCHED.exe navrunr.exe NAVNT.exe NAVLU32.exe navapw32.exe navapsvc.exe
N32ACAN.exe ms.exe mpftray.exe MOOLIVE.exe moniker.exe
mon.exe microsoft.exe mcafee.exe lucomserver.exe luall.exe
LOOKOUT.exe lockdown2000.exe lamapp.exe kwatch.exe
KVPreScan.exe KVMonXP.exe KRF.exe KPPMain.exe KPfwSvc.exe
KPfw32.exe kpfw32.exe kissvc.exe kavstart.exe kav32.exe
Kasmain.exe Kabackreport.exe JED.exe iomon98.exe iom.exe
ICSSUPPNT.exe ICMOON.exe ICLOADNT.exe ICLOAD95.exe
IceSword.exe ice.exe IBMAVSP.exe IBMASN.exe IAMSERV.exe
IAMAPP.exe F-STOPW.exe f-stopw.exe FRW.exe FP-WIN.exe fp-win.exe
f-prot95.exe F-PROT.exe fir.exe FINDVIRU.exe F-AGNT95.exe
explorewclass.exe ESPWATCH.exe ESAFE.exe EFINET32.exe ECENGINE.exe
DVP95.exe DV95_O.exe DV95.exe debu.exe dbg.exe DAVPFW.exe
CLEANER3.exe CLEANER.exe CLAW95CT.exe CLAW95.exe cfinet32.exe
cfinet.exe CFIND.exe CFIAUDIT.exe CFIADMIN.exe CCenter.exe
BLACKICE.exe BLACKD.exe avxonsol.exe AVWIN95.exe avsynmgr.exe
avsched32.exe AVPUPD.exe AVPTC32.exe AVPNT.exe AVPMON.exe
AVPM.exe avpdos32.exe AVPCC.exe avp32.exe avp.exe AVKSERV.exe avk.exe
AVGCTRL.exe AVE32.exe AVCONSOL.exe AUTODOWN.exe atrack.exe atrack.exe APVXDWIN.exe antivir.exe ANTI-TROJAN.exe anti.exe
ACKWIN32.exe 360tray.exe 360safe.exe _AVPM.exe _AVPCC.exe
_AVP32.exe
f)映像劫持以上進程,並指svchost.exe.
g)獲取當前機子的MAC地址和作業系統版本及運行時間,向指定網址發信。
h)解密網址,下載裡面的病毒到%temp%目錄,並依次運行。
i)遍歷驅動器,在非a:\和b:\驅動器根目錄下創建autorun.inf,先判斷autorun.inf是否已存在檔案或資料夾,存在先刪除,在創建,並將自身複製過去命名為system.dll,autorun.inf中調用system.dll的導出函式explore.
k)修改hosts檔案,禁止許多安全軟體網址。
導出函式DllEntryPoint
a)判斷當前是否注入svchost.exe,且時間是否在2008-12-1以前,是的話跳入主功能執行緒,否則不注入。同導出函式SchedServiceMain、ServiceMain、SvchostEntry_W32Time。
b)若不是,釋放資源102回復ssdt,關閉殺軟進程,然後ring3關卡巴,自己創建一個svchost.exe進程,將自身創建遠程執行緒注入。
2)釋放的資源102sys(Nskhelper2.sys)
恢復SSDT,並結束指定進程。
3)釋放的資源103sys(NsPass?.sys)
直接訪問磁碟並將自己寫入以下dll檔案
%sys32dir%\schedsvc.dll
%sys32dir%\appmgmts.dll
%sys32dir%\srsvc.dll
%sys32dir%\w32time.dll
%sys32dir%\wiaservc.dll
4)釋放的資源104dll(無後綴隨機名)
該為掃蕩波原始版本,先獲取傳入的當前機子的IP,像其子段(2~255)發功及代碼,若傳送成功,則傳送xxx.txt(母體數據組成的bat檔案,運行後會生成臨時檔案tmp.tmp和母體tmp2.dll)調用rundll32運行。
5)釋放的資源105dll(appwinproc.dll)
a)Hook WM_MOVE,當有程式調用時,該dll被載入。
b)獲取視窗,當發現有金山毒霸,360安全衛士, 江民, 木馬, 專殺,下載者,NOD32,卡巴斯基字樣的視窗,則調TerminateProcess將其關閉。
三、解決方案
1)專殺方案
下載金山系統急救箱掃描重啟後可以完全清除此病毒
四、防禦方案
a) 使用最新金山毒霸版本病毒庫可以防禦。
b) 區域網路用戶需要下載ARP防火牆之類的軟體,以防止其他機器的攻擊。
c)使用漏洞修復工具修復漏洞,特別是MS08-067。
