木马下载器Trojan-Downloader.Win32.Golden.cfh

木马下载器Trojan-Downloader.Win32.Golden.cfh
该程序是使用VC编写的下载程序，由微点主动防御软件自动捕获，采用ASPack加壳方式试图躲避特征码扫描，加壳后长度23,040字节，图标为Windows默认可执行文件图标，病毒扩展名为exe，主要通过网页木马、文件捆绑方式传播。

病毒分析

    该木马程序被执行后，创建名为{8695CF39-6A3C-4e5d-BF9C-1D8239BAE977}的互斥体，防止系统中有多个病毒进程在运行；通过API函数ControlService、ChangeServiceConfigA、DeleteService删除部分服务；遍历进程查找部分安全软件进程将其关闭；修改系统时间，使部分杀毒软件不能正常使用；将自身拷贝到％systemroot％\system32目录下，重命名为BoboTurbo.exe，修改文件属性为只读、隐藏、系统；通过API函数ShellExecuteA运行病毒拷贝BoboTurbo.exe。
BoboTurbo.exe运行后，在目录％ProgramFiles％\Internet Explorer\Connection Wizard\下释放动态库Messenger.dll；以％ProgramFiles％\Internet Explorer\iexplore.exe –nohome作为参数通过API函数ShellExecuteA启动IEXPLORE.EXE进程，申请内存空间将Messenger.dll写入，通过远程线程创建激活病毒代码进行代码注入下载其它病毒程序到本地并运行；通过批处理将病毒原文件删除。

技术细节

病毒修改注册表项：

被删除的服务：