网络信息安全是一个博大精深的技术体系,安天将自己的注意力专注于主要矛盾,即计算机网络病毒问题。
    根据有关机构统计,全球超过80%的安全事件均与病毒有关,网络病毒是信息社会面临的主要安全挑战之一,因此,安天人将“天下无毒”作为自己追求的安全境界。
    安天将网络安全工作者的宏观视野与反病毒工程师的成熟细腻有机结合。将反病毒技术与网络监控技术、计算机犯罪取证技术、安全评估技术等进行了有机的结合,形成了自身的产品内涵。
  当前位置:首页 - 安全响应中心 -> 病毒分析报告

Trojan/Win32.Small.dou[Dropper]分析
出处:安天实验室 时间:2009年7月27日
 

  • 病毒标签
 

病毒名称: Trojan/Win32.Small.dou[Dropper]
病毒类型: 下载者
文件 MD5: 3EC822ED36834009AF94419C905C6CEE
公开范围: 完全公开
危害等级: 4
文件长度: 14,848 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: UPX

  • 病毒描述
 

    该恶意代码为下载者木马,病毒运行后调用sfc.dll的#5序号函数去掉对appmgmts.dll文件的保护,遍历%System32%与%System32%\dllcache目录下的appmgmts.dll文件,找到后创建一个同名文件覆盖该目录下的文件,并以该文件的服务启动该病毒替换后的文件,病毒运行完毕后释放批处理文件删除自身。
    衍生的appmgmts.dll文件行为分析:释放驱动文件到%System32%\drivers\目录下,用于恢复SSDT躲避安全软件主动防御检测,添加映像劫持劫持多款安全软件进程,连接网络读取列表下载大量恶意病毒文件。

  • 行为分析-本地行为
 

1、文件运行后会释放以下文件
%System32%\drivers\klan.sys
%System32%\dllcache\appmgmts.dll
%System32%\appmgmts.dll

2、添加映像劫持、创建病毒服务项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\被劫持的进程名\Debugger
值: 字符串: "ntsd -d"
描述:添加映像劫持劫
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\klan\DisplayName
值: 字符串: "klan"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\klan\ImagePath
值: 字符串: "\??\C:\WINDOWS\system32\drivers\klan.sys."
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\klan\Start
值: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\klan\Type
值: DWORD: 1 (0x1)
描述:添加病毒服务

3、利用病毒衍生的DLL文件替换%System32%与%System32%\dllcache目录下的appmgmts.dll文件,释放驱动文件到%System32%\drivers\目录下,命名为: klan.sys,用于恢复SSDT躲避安全软件主动防御检测,添加映像劫持劫持以下安全软件进程:
360hotfix.exe、360rpt.exe、360safe.exe、360safebox.exe、360tray.exe、agentsvr.exe、apvxdwin.exe、ast.exe、avcenter.exe、avengine.exe、avgnt.exe、avguard.exe、avltmain.exe、avp32.exe、avtask.exe、bdagent.exe、bdwizreg.exe、boxmod.exe、ccapp.exe、ccenter.exe、ccevtmgr.exe、ccregvfy.exe、ccsetmgr.exe、cqw32.exe、DrvAnti.exe、egui.exe、ekrn.exe、enc98.EXE、extdb.exe、frameworkservice.exe、frwstub.exe、guardfield.exe、iparmor.exe、kaccore.exe、kasmain.exe、kav32.exe、kavstart.exe、kavsvc.exe、kavsvcui.exe、kislnchr.exe、kissvc.exe、kmailmon.exe、knownsvr.exe、kpfw32.exe、kpfwsvc.exe、kregex.exe、kvfw.exe、kvmonxp.exe、kvmonxp.kxp、kvol.exe、kvprescan.exe、kvsrvxp.exe、kvwsc.exe、kvxp.kxp、kwatch.exe、livesrv.exe、mcagent.exe、mcdash.exe、mcdetect.exe、mcshield.exe、mctskshd.exe、mcvsescn.exe、mcvsshld.exe、mghtml.exe、naprdmgr.exe、navapsvc.exe、navapw32.exe、
navw32.exe、nmain.exe、nod32.exe、nod32krn.exe、nod32kui.exe、npfmntor.exe、oasclnt.exe、pavsrv51.exe、pfw.exe、psctrls.exe、psimreal.exe、psimsvc.exe、qqdoctormain.exe、ras.exe、ravmon.exe、ravmond.exe、ravstub.exe、ravtask.exe、rfwcfg.exe、rfwmain.exe、rfwproxy.exe、rfwsrv.exe、rsagent.exe、rsmain.exe、rsnetsvr.exe、rssafety.exe、rstray.exe、safebank.exe、safeboxtray.exe、scan32.exe、scanfrm.exe、sched.exe、seccenter.exe、secnotifier.exe、SetupLD.exe、shstat.exe、smartup.exe、sndsrvc.exe、spbbcsvc.exe、symlcsvc.exe、tbmon.exe、uihost.exe、ulibcfg.exe、updaterui.exe、uplive.exe、vcr32.exe、vcrmon.exe、vptray.exe、vsserv.exe、vstskmgr.exe、vstskmgr.exe、webproxy.exe、xcommsvr.exe、xnlscn.exe、修复工具.exe

  • 行为分析-网络行为
 

http://ipdown.poloi999***.cn/bbs/ggb1.txt
http://www.dy2004***.com/msn/mm.txt
http://www.ipshougou***.com/bbs/ggb1.txt (病毒下载备用地址)
描述:连接以上地址读取TXT列表容易按以下内容下载病毒文件并保存到磁盘
0:http://125.90.64.**/down/qqmm.exe|C:\uninstc.exe!
1:http://60.173.12.**/bbs/exe/1.exe|C:\uninst1.exe!
2:http://60.173.12.**/bbs/exe/2.exe|C:\uninst1.exe!
3:http://60.173.12.**/bbs/exe/3.exe|C:\uninst1.exe!
4:http://60.173.12.**/bbs/exe/4.exe|C:\uninst1.exe!
5:http://60.173.12.**/bbs/exe/5.exe|C:\uninst1.exe!
6:http://60.173.12.**/bbs/exe/6.exe|C:\uninst1.exe!
7:http://60.173.12.**/bbs/exe/7.exe|C:\uninst1.exe!
8:http://60.173.12.**/bbs/exe/8.exe|C:\uninst1.exe!
9:http://60.173.12.**/bbs/exe/9.exe|C:\uninst1.exe!
10:http://60.173.12.**/bbs/exe/10.exe|C:\uninst1.exe!
11:http://60.173.12.**/bbs/exe/11.exe|C:\uninst1.exe!
12:http://60.173.12.**/bbs/exe/12.exe|C:\uninst1.exe!
13:http://60.173.12.**/bbs/exe/13.exe|C:\uninst1.exe!
14:http://60.173.12.**/bbs/exe/14.exe|C:\uninst1.exe!
15:http://60.173.12.**/bbs/exe/15.exe|C:\uninst1.exe!
16:http://60.173.12.**/bbs/exe/16.exe|C:\uninst1.exe!
17:http://60.173.12.**/bbs/exe/17.exe|C:\uninst1.exe!
18:http://60.173.12.**/bbs/exe/18.exe|C:\uninst1.exe!
19:http://60.173.12.**/bbs/exe/19.exe|C:\uninst1.exe!
20:http://60.173.12.**/bbs/exe/20.exe|C:\uninst1.exe!
21:http://60.173.12.**/bbs/exe/21.exe|C:\uninst1.exe!
22:http://60.173.12.**/bbs/exe/22.exe|C:\uninst1.exe!
23:http://60.173.12.**/bbs/exe/23.exe|C:\uninst1.exe!
24:http://60.173.12.**/bbs/exe/24.exe|C:\uninst1.exe!
25:http://60.173.12.**/bbs/exe/25.exe|C:\uninst1.exe!
26:http://60.173.12.**/bbs/exe/26.exe|C:\uninst1.exe!
27:http://60.173.12.**/bbs/exe/27.exe|C:\uninst1.exe!
28:http://60.173.12.**/bbs/exe/28.exe|C:\uninst1.exe!
29:http://60.173.12.**/bbs/exe/29.exe|C:\uninst1.exe!
30:http://60.173.12.**/bbs/exe/30.exe|C:\uninst1.exe!
31:http://60.173.12.**/bbs/exe/31.exe|C:\uninst1.exe!
32:http://60.173.12.**/bbs/exe/32.exe|C:\uninst1.exe!
33:http://60.173.12.**/bbs/exe/33.exe|C:\uninst1.exe!
34:http://60.173.12.**/bbs/exe/34.exe|C:\uninst1.exe!
35:http://60.173.12.**/bbs/exe/35.exe|C:\uninst1.exe!
36:http://60.173.12.**/bbs/exe/36.exe|C:\uninst1.exe!
37:http://60.173.12.**/bbs/exe/37.exe|C:\uninst1.exe!
38:http://60.173.12.**/bbs/exe/38.exe|C:\uninst1.exe!
39:http://60.173.12.**/bbs/exe/39.exe|C:\uninst1.exe!
40:http://60.173.12.**/bbs/exe/40.exe|C:\uninst1.exe!
41:http://60.173.12.**/bbs/exe/41.exe|C:\uninst1.exe!
42:http://60.173.12.**/bbs/exe/42.exe|C:\uninst1.exe!
43:http://60.173.12.**/bbs/exe/43.exe|C:\uninst1.exe!
44:http://60.173.12.**/bbs/exe/44.exe|C:\uninst1.exe!
45:http://60.173.12.**/bbs/exe/45.exe|C:\uninst1.exe!
46:http://60.173.12.**/bbs/exe/46.exe|C:\uninst1.exe!
47:http://60.173.12.**/bbs/exe/47.exe|C:\uninst1.exe!
48:http://60.173.12.**/bbs/exe/48.exe|C:\uninst1.exe!
49:http://60.173.12.**/bbs/exe/49.exe|C:\uninst1.exe!
50:http://60.173.12.**/bbs/exe/50.exe|C:\uninst1.exe!
51:http://60.173.12.**/bbs/exe/51.exe|C:\uninst1.exe!
52:http://60.173.12.**/bbs/exe/52.exe|C:\uninst1.exe!
53:http://60.173.12.**/bbs/exe/53.exe|C:\uninst1.exe!
54:http://60.173.12.**/bbs/exe/54.exe|C:\uninst1.exe!
55:http://60.173.12.**/bbs/exe/55.exe|C:\uninst1.exe!
56:http://60.173.12.**/bbs/exe/56.exe|C:\uninst1.exe!
57:http://60.173.12.**/bbs/exe/57.exe|C:\uninst1.exe!
58:http://60.173.12.**/bbs/exe/58.exe|C:\uninst1.exe!
59:http://60.173.12.**/bbs/exe/59.exe|C:\uninst1.exe!
59:http://60.173.12.**/bbs/exe1/a59.exe|C:\uninst2.exe!
60:http://60.173.12.**/bbs/exe/60.exe|C:\uninst1.exe!
61:http://60.173.12.**/bbs/exe/61.exe|C:\uninst1.exe!
62:http://60.173.12.**/bbs/exe/62.exe|C:\uninst1.exe!
63:http://60.173.12.**/bbs/exe/63.exe|C:\uninst1.exe!
64:http://60.173.12.**/bbs/exe/64.exe|C:\uninst1.exe!
65:http://60.173.12.**/bbs/exe/65.exe|C:\uninst1.exe!
66:http://60.173.12.**/bbs/exe/66.exe|C:\uninst1.exe!
67:http://60.173.12.**/bbs/exe/67.exe|C:\uninst1.exe!
68:http://60.173.12.**/bbs/exe/68.exe|C:\uninst1.exe!
69:http://60.173.12.**/bbs/exe/69.exe|C:\uninst1.exe!
70:http://60.173.12.**/bbs/exe/70.exe|C:\uninst1.exe!
71:http://60.173.12.**/bbs/exe/71.exe|C:\uninst1.exe!
72:http://60.173.12.**/bbs/exe/72.exe|C:\uninst1.exe!
73:http://60.173.12.**/bbs/exe/73.exe|C:\uninst1.exe!
74:http://60.173.12.**/bbs/exe/74.exe|C:\uninst1.exe!
75:http://60.173.12.**/bbs/exe/75.exe|C:\uninst1.exe!
76:http://60.173.12.**/bbs/exe/76.exe|C:\uninst1.exe!
77:http://60.173.12.**/bbs/exe/77.exe|C:\uninst1.exe!
78:http://60.173.12.**/bbs/exe/78.exe|C:\uninst1.exe!
79:http://60.173.12.**/bbs/exe/79.exe|C:\uninst1.exe!
80:http://60.173.12.**/bbs/exe/80.exe|C:\uninst1.exe!
81:http://60.173.12.**/bbs/exe/81.exe|C:\uninst1.exe!
82:http://60.173.12.**/bbs/exe/82.exe|C:\uninst1.exe!
83:http://60.173.12.**/bbs/exe/83.exe|C:\uninst1.exe!
84:http://60.173.12.**/bbs/exe/84.exe|C:\uninst1.exe!
85:http://60.173.12.**/bbs/exe/85.exe|C:\uninst1.exe!
86:http://60.173.12.**/bbs/exe/86.exe|C:\uninst1.exe!
87:http://60.173.12.**/bbs/exe/87.exe|C:\uninst1.exe!
88:http://60.173.12.**/bbs/exe/88.exe|C:\uninst1.exe!
89:http://60.173.12.**/bbs/exe/89.exe|C:\uninst1.exe!
90:http://60.173.12.**/bbs/exe/90.exe|C:\uninst1.exe!
91:http://60.173.12.**/bbs/exe/91.exe|C:\uninst1.exe!
92:http://60.173.12.**/bbs/exe/92.exe|C:\uninst1.exe!
93:http://60.173.12.**/bbs/exe/93.exe|C:\uninst1.exe!
94:http://60.173.12.**/bbs/exe/94.exe|C:\uninst1.exe!
95:http://60.173.12.**/bbs/exe/95.exe|C:\uninst1.exe!
96:http://60.173.12.**/bbs/exe/96.exe|C:\uninst1.exe!
98:http://60.173.12.**/bbs/exe/98.exe|C:\uninst1.exe!
99:http://60.173.12.**/bbs/exe/99.exe|C:\uninst1.exe!
100:http://60.173.12.**/bbs/exe/100.exe|C:\uninst1.exe!

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
         %Windir%             WINDODWS所在目录
         %DriveLetter%          逻辑驱动器根目录
         %ProgramFiles%          系统程序默认安装目录
         %HomeDrive%           当前启动的系统的所在分区
         %Documents and Settings%    当前用户文档根目录
         %Temp%             \Documents and Settings\当前用户\Local Settings\Temp
         %System32%           系统的 System32文件夹
    
         Windows2000/NT中默认的安装路径是C:\Winnt\System32
         windows95/98/me中默认的安装路径是C:\Windows\System
         windowsXP中默认的安装路径是C:\Windows\System32

  • 清除方案
 

1、使用安天防线可彻底清除此病毒(推荐),请点击下载(http://www.antiyfx.com)
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
推荐使用ATool管理工具,请点击下载(http://www.antiy.com/cn/download/index.htm)
(1)使用ATOOL进程管理结束病毒进程。

(2)强行删除病毒下载的大量病毒文件
%System32%\drivers\klan.sys
在其它机器上拷贝一个appmgmts.dll文件覆盖%System32%与%System32%\dllcache目录下的appmgmts.dll文件

(3)删除病毒创建的注册表服务及RUN启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\被劫持的进程名\Debugger
值: 字符串: "ntsd -d"
删除Image File Execution Options键下被劫持的安全进程键值