科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道机器狗下载器Trojan-Downloader.Win32.EDog.t

机器狗下载器Trojan-Downloader.Win32.EDog.t

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

该程序是使用Delphi编写的下载程序,由微点主动防御软件自动捕获,采用UPack加壳方式试图躲避特征码扫描,加壳后长度11,428字节,图标为Windows默认可执行文件图标,病毒扩展名为exe。

作者:zdnet安全频道 来源:论坛整理 2008年6月23日

关键字: 下载器 机器狗

  • 评论
  • 分享微博
  • 分享邮件

机器狗下载器Trojan-Downloader.Win32.EDog.t

该程序是使用Delphi编写的下载程序,由微点主动防御软件自动捕获,采用UPack加壳方式试图躲避特征码扫描,加壳后长度11,428字节,图标为Windows默认可执行文件图标,病毒扩展名为exe,主要通过网页木马、文件捆绑方式传播。

病毒分析

    该木马程序被执行后,拷贝自身到C:\Documents and Settings\All Users\「开始」菜单\程序\启动目录下,重命名为Display3D.exe;通过API函数CreateProcessA运行Display3D.exe;以批处理的方式将病毒原文件删除。Display3D.exe运行后,在目录%temp%目录下释放驱动usbcams3.sys,调用SCM写注册表项将usbcams3.sys注册成名为Sc Manager的服务,通过相关函数启动被注册的服务加载驱动,加载成功后使用API函数DeleteFileA将驱动文件usbcams3.sys删除;遍历进程查找部分杀毒软件进程,利用驱动usbcams3.sys将杀毒软件进程关闭;在目录%temp%下释放又一驱动usbhcid.sys,调用SCM写注册表项将usbhcid.sys注册成名为iCafe Manager的服务,通过相关函数启动被注册的服务加载驱动,加载成功后使用API函数DeleteFileA将驱动文件usbhcid.sys删除;驱动加载后创建磁盘设备“\Device\yyy2”,创建目录对象“\Device\zzz”,通过函数DeviceIoControl调用相关控制码得到主DOS分区信息并获取设备号后关闭句柄;打开设备“\Device\yyy2”通过DeviceIoControl传递自身控制码8000F800访问物理磁盘,利用CopyFileA函数将启动组中的病毒文件拷贝到“\\.\yyy2”中,以达到突破还原卡的目的;访问恶意网站H**p://jx.llzjz.cn/logo.jpg.将其它病毒程序下载列表下载到本地%systemroot%\system32目录下,命名为win.ini,通过读取下载列表win.ini下载大量病毒程序和盗号木马到本地并运行。

技术细节

病毒修改注册表项


  Quote:

项:HKLM\SYSTEM\CurrentControlSet\Services\Sc Manager\
键值:DisplayName
指向数据:NetApi000

项:HKLM\SYSTEM\CurrentControlSet\Services\Sc Manager\
键值:ImagePath
指向文件:\??\ %Temp%\usbcams3.sys

项:HKLM\SYSTEM\CurrentControlSet\Services\Sc Manager\
键值:Start
指向数据:03

项:HKLM\SYSTEM\CurrentControlSet\Services\iCafe Manager\
键值:DisplayName
指向数据:NetApi000

项:HKLM\SYSTEM\CurrentControlSet\Services\iCafe Manager\
键值:ImagePath
指向文件:\??\ %Temp%\usbhcid.sys

项:HKLM\SYSTEM\CurrentControlSet\Services\iCafe Manager\
键值:Start
指向数据:03


安全提示

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您“发现未知间谍软件”,请直接选择删除处理;


如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现" Trojan-Downloader.Win32.EDog.t”,请直接选择删除。


对于未使用微点主动防御软件的用户,微点反病毒专家建议
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
3、开启windows自动更新,及时打好漏洞补丁。
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章