玛雅宝宝木马下载器

该木马程序是使用Delphi编写的下载程序，由微点主动防御软件自动捕获，采用UPX加壳方式试图躲避特征码扫描,加壳后长度为29,696字节，图标为，病毒扩展名为exe，主要通过网页木马、文件捆绑的方式传播,病毒主要下载其他病毒程序。

病毒分析

该木马程序被激活后，在%SystemRoot%\MayaBaby目录下释放动态库文件“MayaBabyDll.dat”与驱动文件“MayaBabySYS.dat”，修改文件属性为隐藏、系统；开启一线程查找窗口名为“Windows 文件保护”的窗口，将其设为隐藏；以命令行的方式关闭服务“beep”；将驱动文件M“ayaBabySYS.dat”拷贝到%SystemRoot%\system32\Drivers目录下，用来覆盖“beep.sys”；以命令行的方式启动服务“beep”以加载病毒驱动程序；驱动的作用是恢复SSDT，使部分杀毒软件监控失效，以及隐藏病毒文件夹；使用API函数加载动态库“MayaBabyDll.dat”；拷贝自身到%SystemRoot%\MayaBaby目录下，重命名为“MayaBabyMain.exe”；调用SCM写注册表，将病毒拷贝“MayaBabyMain.exe”注册成名为“Network Services”的服务，使用相关API函数启动被注册的服务；以批处理的方式将病毒原文件删除；

动态库“MayaBabyDll.dat”加载运行后，遍历进程查找如下进程：“360Safe.exe（360安全卫士）”、“360Tray.exe（360安全卫士）”、“rfwmain.exe（瑞星防火墙）”、“rfwstub.exe（瑞星防火墙）”、“rfwsrv.exe（瑞星防火墙）”、“RavMonD.exe（瑞星杀毒软件程序）”、“Ravstub.exe（瑞星杀毒软件程序）”、“RavTask.exe（瑞星杀毒软件程序）”、“RavMon.exe（瑞星杀毒软件程序）”将其关闭；遍历进程查找“smss.exe”，申请内存空间将动态库“MayaBabyDll.dat”写入，通过相关API函数激活代码进行代码注入逃避常规杀毒软件查杀；访问网站“http://www.xiao***s.cn/index.html”，间隔一段时间后查找窗口类名为“IEFrame”的窗口，通过发送退出消息将其关闭；访问恶意网站“http://cc.***ii.com/***n/update.gif”；“http://cc***i.com/xin/version.gif”下载其他病毒程序并运行。

安全提示

　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知间谍软件”，请直接选择删除处理；

　　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现"Trojan-Downloader.Win32.MAYABABY.kno”，请直接选择删除。


　　对于未使用微点主动防御软件的用户，微点反病毒专家建议：
1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
3、开启windows自动更新，及时打好漏洞补丁。