木马下载器Trojan-Downloader.Win32.Small.lvb

木马下载器Trojan-Downloader.Win32.Small.lvb
该样本是一个用C++编写的木马程序，长度为7,760字节，使用 windows默认可执行文件图标，病毒扩展名为exe，通过网页木马、文件捆绑方式传播。

病毒分析

　　当病毒被执行后，调用API函数CopyFileA复制自身到“%SystemRoot%\system32”目录下，并重命名为rdpcfg.exe，添加注册表自启动项使病毒随系统一起启动；同时在%Temp%下释放批处理文件del.bat并执行，激活病毒主体文件rdpcfg.exe后自删除。

　　rdpcfg.exe被激活后，查找环境变量确定iexplore.exe路径，调用API函数CreateProcessA后台开启iexplore.exe进程，通过API函数WriteProcessMemory将病毒的部分代码写入iexplore.exe的内存空间，通过CreateRemoteThread函数在iexplore.exe进程开启远程线程激活写入的代码，下载木马列表文件保存为wuauclt.txt，调用API函数MoveFileA将wuauclt.txt改名为 wscui.txt，木马列表文件下载完成后结束iexplore.exe进程。

　　病毒读取wscui.txt中列出的木马下载地址，重复执行上述动作下载木马到“%Temp%”。若“%SystemRoot%\system32”目录下不存在同名文件，则将木马拷贝到该目录，并复制到%SystemRoot%目录下重命名为system32%d.exe；若存在同名文件则拷贝到%SystemRoot%目录下重命名为system32%d.exe，“%d”的值从木马列表文件中取得，然后调用API函数ShellExecuteA执行病毒程序system32%d.exe，最后调用DeleteFileA函数删除木马列表文件wscui.txt。


技术细节

del.bat文件内容：

@echo off
:try
del C:\1.EXE
if exist C:\1.EXE goto try
start C:\WINNT\system32\rdpcfg.exe
del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\del.bat

病毒新建的注册表项：

项：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
键值：rea1sched
数值数据：C:\WINNT\system32\rdpcfg.exe

病毒下载木马列表文件的地址：

http://www.hao923.cn/***/i.asp?ip=*.*.*.*

安全提示

　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理（如图1）；


　　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现“Trojan-Downloader.Win32.Small.lvb”，请直接选择删除（如图2）。


　　对于未使用微点主动防御软件的用户，微点反病毒专家建议：

1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。

2、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

3、开启windows自动更新，及时打好漏洞补丁。