木马下载器Trojan-Downloader.Win32.Agent.otc

Nblock

病毒名称

Trojan-Downloader.Win32.Agent.otc

捕获时间

2008-2-1

病毒症状

　　该样本是一个使用捆绑机捆绑的程序，长度为23,552 字节，图标为windows默认可执行文件图标，扩展名为exe，传播途径主要为网页木马。

病毒分析

　　该样本被激活后， 释放被捆绑文件RESSDT.exe和sysave.exe到%SysytemRoot%\system32目录下，释放批处理命令删除自身；执行RESSDT.exe在%systemroot%\system32目录下生成RESSDT.sys,，创建设备\\Device\\RESSDT、创建符号连接\\??\\RESSDTDOS与内核进行通信重置系统服务分发表，造成部分主动防御杀软无法正常监控；通过执行命令行命令结束部分杀软服务并设置所有用户无法访问部分杀软路径；sysave.exe执行后添加注册表相关启动项实现开机自启动；映象劫持部分杀软和常用系统工具并通过硬编码查找部分杀软所在目录，更改其文件夹下文件名称，使之无法正常运行；在后台打开一个IE连接到指定网站下载并运行多种病毒和木马。

感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页挂马

安全提示

　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知间谍软件”，请直接选择删除处理（如图1）；




如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现“Trojan-Downloader.Win32.Agent.otc”，请直接选择删除（如图2）。





对于未使用微点主动防御软件的用户，微点反病毒专家建议：

1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。

2、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

3、开启windows自动更新，及时打好漏洞补丁。



技术细节

病毒添加的注册表项：
项：Software\Microsoft\Windows\CurrentVersion\Run
键值：remotecontrol
对应路径：%systemroot%\system32\sysave.exe

项：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
键值：RESSDT
对应路径： \??\%systemroot%\system32 \RESSDT.sys

项：SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
通过新建debugger键值，当运行下列程序时便自动转向为系统文件svchost.exe，值得下列程序无法正常运行。
   kavsvc.exe
   mmc.exe
   msconfig.exe
   regedit.exe
   zxsweep.exe
   WoptiClean.exe
   UpLive.EXE.exe
   UmxPol.exe
   UmxFwHlp.exe
   UmxCfg.exe
   UmxAttachment.exe
   UmxAgent.exe
   UIHost.exe
   TrojDie.kxp
   Trojanwall.exe
   rfwProxy.exe
   RegClean.exe
   rfwcfg.exe
   RsAqent.exe
   Rsaupd.exe
   SmartUp.exe
   shcfg32.exe
   scan32.exe
   safelive.exe
   SREng.exe
   symlcsvc.exe
   TrojanDetector.exe
   SysSafe.exe
   RavMonD.exe
   RavMon.exe
   Ras.exe
   PFWLveUpdate.exe
   QHSET.exe
   NAVSetup.exe
   mmsk.exe
   mmqczj.exe
   mcconsol.exe
   MagicSet.exe
   loaddll.exe
   KWatchX.exe
   KWatch9x.exe
   KvXP_1.kxp
   KvXP.kxp
   kvwsc.exe
   kvupload.exe
   KVStub.kxp
   KVMonXP.exe
   FWMon.exe
   PFW.exe
   kvsrvxp.exe
   KVWSC.exe
   KAVStart.exe
   KPfwSvc.exe
   KWatch.exe
   nod32kui.exe
   ccSetApp.exe
   ccEvtMgr.exe
   ccSetMgr.exe
   DefWatch.exe
   mctskshd.exe
   mcupdmgr.exe
   McAgent.exe
   ras.exe
   runiep.exe
   rfwsrv.exe
   RfwMain.exe
   RavMON.exe
   RavStub.exe
   RavTask.exe
   Rav.exe
   Ravmond.exe
   CCenter.exe
   avp.exe
   KMaiMon.exe
   QQSC.exe
   QQDoctor.exe

木马下载地址如下：
http://www.******.cn/root/sysupdate1.exe
http://www.******.cn/root/sysupdate.exe

被结束的杀软服务和拒绝所有用户访问的路径net stop wscsvc&net stop sharedaccess
sc config sharedaccess start= disabled
sc config wscsvc start= disabled
net stop KPfwSvc
net stop KWatchsvc&net stop McShield
net stop "Norton AntiVirus Server"
cacls "C:\Program Files\Tencent\QQ\QQDoctor"   /d everyone,0,(null))

※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※

红心王子

这东东的动作不少，修改了很多