斗地主小游戏奥维  |  微點新聞  |  業界動態  |  安全資訊  |  安全快報  |  產品信息  |  網絡版首頁
通行證  |  客服中心  |  微點社區  |  微點郵局  |  常見問題  |  在線訂購  |  各地代理商
 

快播殺手Trojan.Win32.Pincav.ab

快播殺手

Trojan.Win32.Pincav.ab

捕獲時間

2010-4-23

危害等級



病毒癥狀

    該樣本是使用“Visual C /C”編寫的木馬下載器,由微點主動防御軟件自動捕獲。長度為“35,840”字節,圖標為“
”,病毒擴展名為“exe”,主要通過“文件捆綁”、“下載器下載”、“移動存儲介質”等方式傳播。病毒主要目的是下載安裝病毒木馬。
    用戶中毒后,會出現出現網絡異常連接,安全軟件無故退出,系統無故報錯,發現大量未知進程等現象。

感染對象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

傳染途徑

網頁掛馬、文件捆綁、下載器下載

防范措施

已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動?;つ南低趁饈芨貌《鏡娜肭趾推蘋?。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知間諜軟件“,請直接選擇刪除處理(如圖1);


圖1 微點主動防御軟件自動捕獲未知病毒(未升級)




如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現木馬"Trojan.Win32.Pincav.ab”,請直接選擇刪除(如圖2)。


圖2   微點主動防御軟件升級后截獲已知病毒




未安裝微點主動防御軟件的手動解決辦法:

1.手動刪除以下文件:
   
%SystemRoot%\system32\ijh.dll
%SystemRoot%\system32\lwf.dll
%SystemRoot%\system32\system.exe
%Temp%\IXP000.TMP\QVOD播~1.exe
%Temp%\IXP000.TMP\QQQSSE~1.EXE
%SystemDriver%\Driver.sys
%SystemDriver%\pci.sys

2.手動刪除以下注冊表:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
數據:system
值:C:\WINDOWS\system32\system.exe

變量聲明:

 %SystemDriver%        系統所在分區,通常為“C:\”
 %SystemRoot%         WINDODWS所在目錄,通常為“C:\Windows”
 %Documents and Settings%  用戶文檔目錄,通常為“C:\Documents and Settings”
 %Temp%            臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
 %ProgramFiles%       系統程序默認安裝目錄,通常為:“C:\ProgramFiles”

病毒分析

1.該樣本捆綁在QVOD播放器(快播)安裝文件上,用戶點擊安裝后病毒文件和快播安裝文件將釋放到%Temp%\IXP000.TMP目錄下,并命名為“QVOD播~1.EXE”,“QQQSSE~1.EXE”分別運行。
2.病毒文件QVOD播~1.EXE”運行后比較自身是否為%SystemRoot%\system32\system.exe。如果是則執行下載功能。如果不是則將自身拷貝到%SystemRoot%\system32\system.exe。并釋放病毒文件ijh.dll、lwf.dll(文件名隨機)到%SystemRoot%\system32\目錄分別加載運行。
3.ijh.dll加載運行后在系統目錄%SystemDriver%下釋放驅動文件Driver.sys和pci.sys。并分別創建服務加載運行驅動文件?;袢SDT地址并恢復SSDT,注入當前系統所有進程并判斷自身是否注入安全軟件,如果成功則關閉安全軟件。成功后刪除驅動文件。查找以下服務360rp,RsRavMon,McNASvc,MpfService,McProxy,McShield,McODS,mcmscsvc,McSysmon,ekrn并閉并刪除該服務。
4.lwf.dll加載運行后創建互斥體防止多次運行,并創建線程循環創建注冊表實現自啟動
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
數據:system
值:C:\WINDOWS\system32\system.exe
將系統文件wininet.dll復制到%Temp%目錄并獲取其相關函數,每隔一段時間從指定網址讀取病毒下載地址,下載安裝大量病毒木馬文件到本地機器。

病毒創建文件

%SystemRoot%\system32\ijh.dll
%SystemRoot%\system32\lwf.dll
%SystemRoot%\system32\system.exe
%Temp%\IXP000.TMP\QVOD播~1.exe
%Temp%\IXP000.TMP\QQQSSE~1.EXE
%SystemDriver%\Driver.sys
%SystemDriver%\pci.sys

病毒創建注冊表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
數據:system
值:C:\WINDOWS\system32\system.exe

病毒訪問網絡

//rc04.752***.com:8080/rc04/d.txt
//rc04.o6**.com:8080/ok.exe
//rc04.o6**.com:8080/a02.exe
//rc04.o6**.com:8080/a05.exe
//rc04.o6**.com:8080/a17.exe
//rc04.o6**.com:8080/a31.exe
//rc04.o6**.com:8080/a14.exe
//rc04.o6**.com:8080/a4.exe
//rc04.o6**.com:8080/a03.exe
//rc04.o6**.com:8080/a09.exe
//rc04.o6**.com:8080/a07.exe
//rc04.o6**.com:8080/a10.exe
//rc04.o6**.com:8080/a24.exe
//rc04.o6**.com:8080/a13.exe
//rc04.o6**.com:8080/a30.exe
//rc04.o6**.com:8080/a04.exe
//rc04.o6**.com:8080/a01.exe
//rc04.o6**.com:8080/a08.exe
//rc04.o6**.com:8080/a19.exe
//rc04.o6**.com:8080/a11.exe
//rc04.o6**.com:8080/a25.exe
//rc04.o6**.com:8080/a16.exe
//rc04.o6**.com:8080/a21.exe
//rc04.o6**.com:8080/a27.exe
//rc04.o6**.com:8080/a12.exe
//rc04.o6**.com:8080/a23.exe
//rc04.o6**.com:8080/a26.exe
//rc04.o6**.com:8080/a15.exe
//rc04.o6**.com:8080/a18.exe
//rc04.o6**.com:8080/a20.exe
//rc04.o6**.com:8080/a22.exe
//rc04.o6**.com:8080/a28.exe
//rc04.o6**.com:8080/a29.exe
//rc04.o6**.com:8080/a06.exe
//rc04.o6**.com:8080/a1.exe
//rc04.o6**.com:8080/a2.exe
//rc04.o6**.com:8080/a3.exe
//rc04.o6**.com:8080/a5.exe
//rc04.o6**.com:8080/b4.exe
//rc04.o6**.com:8080/k4.exe
//rc04.o6**.com:8080/tj.exe
//rc04.o6**.com:8080/down.exe

免費試用
下  載
安裝演示