机器狗下载器Trojan-Downloader.Win32.EDog.t

机器狗下载器Trojan-Downloader.Win32.EDog.t

该程序是使用Delphi编写的下载程序，由微点主动防御软件自动捕获，采用UPack加壳方式试图躲避特征码扫描，加壳后长度11,428字节，图标为Windows默认可执行文件图标，病毒扩展名为exe，主要通过网页木马、文件捆绑方式传播。

病毒分析

    该木马程序被执行后，拷贝自身到C:\Documents and Settings\All Users\「开始」菜单\程序\启动目录下，重命名为Display3D.exe；通过API函数CreateProcessA运行Display3D.exe；以批处理的方式将病毒原文件删除。Display3D.exe运行后，在目录％temp％目录下释放驱动usbcams3.sys，调用SCM写注册表项将usbcams3.sys注册成名为Sc Manager的服务,通过相关函数启动被注册的服务加载驱动，加载成功后使用API函数DeleteFileA将驱动文件usbcams3.sys删除；遍历进程查找部分杀毒软件进程，利用驱动usbcams3.sys将杀毒软件进程关闭；在目录％temp％下释放又一驱动usbhcid.sys，调用SCM写注册表项将usbhcid.sys注册成名为iCafe Manager的服务,通过相关函数启动被注册的服务加载驱动，加载成功后使用API函数DeleteFileA将驱动文件usbhcid.sys删除；驱动加载后创建磁盘设备“\Device\yyy2”，创建目录对象“\Device\zzz”,通过函数DeviceIoControl调用相关控制码得到主DOS分区信息并获取设备号后关闭句柄；打开设备“\Device\yyy2”通过DeviceIoControl传递自身控制码8000F800访问物理磁盘，利用CopyFileA函数将启动组中的病毒文件拷贝到“\\.\yyy2”中，以达到突破还原卡的目的；访问恶意网站H**p://jx.llzjz.cn/logo.jpg.将其它病毒程序下载列表下载到本地％systemroot％\system32目录下，命名为win.ini，通过读取下载列表win.ini下载大量病毒程序和盗号木马到本地并运行。

技术细节

病毒修改注册表项：