木马下载器Trojan-Downloader.Win32.Share.a

该程序是使用Delphi编写的下载程序，程序未加壳，长度为22,016字节，图标为Windows默认可执行文件图标，病毒扩展名为exe，主要通过网页木马、文件捆绑、移动存储介质的方式传播。

病毒分析

该木马程序被执行后,创建名为“system”的互斥体，防止系统中有多个病毒进程存在；访问恶意网址http://www.**yt888.cn/5.asp将其他病毒程序下载d:\x.pif并运行；关闭文件系统保护功能；以批处理的形式将病毒原文件删除；

x.pif运行后，遍历进程查找如下安全软件进程将其关闭；


Quote:
360Safe.exe、360tray.exe、VsTskMgr.exe、Runiep.exe、RAS.exe、UpdaterUI.exe、TBMon.exe、KASARP.exe、scan32.exe、VPC32.exe、VPTRAY.exe、ANTIARP.exe、KRegEx.exe、KvXP.kxp、kvsrvxp.kxp、kvsrvxp.exe、KVWSC.EXE、Iparmor.exe、AST.EXE、GuardField.exe



修改系统时间，使部分杀毒软件不能正常使用；在%systemroot%\system32目录下释放病毒程序wintt.pif，通过API函数WinExec运行wintt.pif；以命令行的形式关闭服务：McShield、KWhatchsvc、Norton AntiVirus Server；通过命令行cacls 文件绝对路径 /e /p everyone:f赋予用户everyone对文件pthreadVC.dll、wpcap.dll、npf.sys、npptools.dll 、acpidisk.sys、wanpacket.dll 以及[启动]完全控制的权限；拷贝自身到%systemroot%\system32目录下，重命名为wuauc1t.exe，修改文件属性为隐藏、系统；修改如下注册表健值实现隐藏病毒文件；


Quote:
项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\hidden\showall\
健值：CheckedValue
指向数据：00



删除安全模式对应的注册表健值，使用户不能通过安全模式来修复系统；枚举窗口查找窗口类名为“IEFrame”的窗口，申请内存空间将病毒部分代码写入，通过远程线程激活病毒代码进行代码注入，访问恶意网站将其他病毒程序下载到本地C:\并运行；每隔60000ms枚举盘符在各分区和移动存储介质中释放隐藏病毒文件explorer.exe和autorun.inf，使用Windows自动播放功能来传播病毒；使用API函数DeleteFileA将病毒文件wintt.pif删除；


Quote:
autorun.inf文件内容如下:
[autorun]
shell\open=打开(&O)
shell\open\Command=explorer.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=explorer.exe



wintt.pif运行后,通过相关API函数将系统驱动文件beep.sys替换为病毒自身驱动文件,之后再将其加载运行，驱动运行后恢复SSDT表；

感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页木马、文件捆绑、移动存储介质

安全提示

　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”，请直接选择删除处理；

如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现" Trojan-Downloader.Win32.Share.a”，请直接选择删除。



对于未使用微点主动防御软件的用户，微点反病毒专家建议：
1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
3、开启windows自动更新，及时打好漏洞补丁。