最新更新主题

机器狗下载器 Trojan-Downloader.Win32.EDog.h

字体: | 打印 发表于: 2008-1-01 13:16    作者: admin    来源: 资讯天下

机器狗下载器 Trojan-Downloader.Win32.EDog.h



病毒名称



Trojan-Downloader.Win32.EDog.h



捕捉时间



2007-11-28

病毒症状



      该病毒是一个使用汇编语言编写的下载者程序,程序未经过加壳,长度44,544 字节,图标为具有一定诱惑力的电子狗玩具状图标,病毒扩展名为exe,主要通过ARP欺骗方式进行会话劫持大规模传播。



病毒分析



      该样本程序被执行后首先在%SystemRoot%\system32\drivers目录下释放驱动文件pcihdd.sys,调用SCM写注册表将该文件注册成为服务名为“PciHdd”的内核驱动服务,通过使用StartServiceA函数启动被注册的内核驱动服务,当驱动被加载到系统内核空间后调用相关API函数将所释放的驱动删除。

病毒驱动被加载后通过访问设备对象PhysicalHardDisk0并判定主DOS分区是否被激活,假如被激活直接访问物理磁盘打开%SystemRoot%\system32\目录下userinit.exe文件,调用驱动操作物理硬盘改写系统用户模式引导文件userinit.exe。



      当计算机重启后,userinit.exe通过默认注册表启动项在winlogon.exe初始化完毕后加载,创建explorer.exe进程初始化桌面环境后直接读取下载其他的病毒和木马程序。

感染对象



Windows 2000/Windows XP/Windows 2003



传播途径



网页木马、下载器下载、ARP欺骗      



技术细节



该下载器具有两个明显特性,分别为:

1、通过加载驱动的方式访问设备对象PhysicalHardDisk0,判定当前文件系统等条件因素后访问物理磁盘,以读写扇区的方式改写重要系统文件,从而突破部分磁盘还原系统以及SFC的检测。



2、该下载器会下载多种游戏盗号木马,盗取传奇、魔兽世界、征途、大话西游、QQ等用户帐号信息;不定时更新机器狗下载器,防止被杀毒软件特征码识别并查杀;下载激活ARP病毒造成局域网瘫痪,并使用会话劫持手段封装数据包,造成局域网任意计算机打开网页后被嵌入隐藏iframe语句实现网页木马传播,行为极其恶劣。

下载列表连接网址:

Http://1.*******.com/test.cer

被下载木马文件网址:

http://1.***09.com/02.exe  :Trojan-PSW.Win32.OnLineGames.yus

http://1.***05.com/3.exe   :Trojan-PSW.Win32.WOW.bnj

http://1.***05.com/4.exe   :Trojan-PSW.Win32.OnLineGames.ziw

http://1.***05.com/5.exe   :Trojan-PSW.Win32.OnLineGames.ziw

http://1.***05.com/6.exe   :Trojan-PSW.Win32.OnLineGames.zlp

http://1.***05.com/7.exe   :Trojan-PSW.Win32.OnLineGames.zik

http://1.***05.com/8.exe   :Trojan-PSW.Win32.OnLineGames.xea

http://1.***05.com/10.exe  :Trojan-PSW.Win32.OnLineGames.yjv

http://1.***05.com/11.exe  :Trojan-PSW.Win32.QQPass.gxh

http://1.***05.com/12.exe  :Trojan-PSW.Win32.QQPass.gxh

http://1.***05.com/13.exe  :Trojan-PSW.Win32.Lmir.coc

http://1.***05.com/14.exe  :Trojan-PSW.Win32.OnLineGames.yas

http://1.***05.com/15.exe  :Trojan-PSW.Win32.OLGames.ln

http://1.***05.com/16.exe  :Trojan-PSW.Win32.OnLineGames.zjf

http://1.***05.com/17.exe  :Trojan-PSW.Win32.OLGames.hg

http://1.***05.com/18.exe  :Trojan-PSW.Win32.OLGames.lo

http://1.***05.com/19.exe  :Trojan-PSW.Win32.OnLineGames.zpy

http://1.***05.com/20.exe  :Trojan-PSW.Win32.OnLineGames.ynd

http://1.***05.com/21.exe  :Trojan-PSW.Win32.OnLineGames.xzs

http://1.***05.com/22.exe  :Trojan-PSW.Win32.OLGames.ij

http://1.***08.com/23.exe  :Trojan-Downloader.Win32.EDog.j

http://1.***08.com/24.exe  :压缩包文件包含:Backdoor.Win32.ARP.d