至顶网›安全频道 ›木马下载器Trojan-Downloader.Win32.Losabel.db

木马下载器Trojan-Downloader.Win32.Losabel.db

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现" Trojan-Downloader.Win32.Losabel.db”，请直接选择删除（如图2）。2、建议关闭U盘自动播放，具体操作步骤：开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。

来源：论坛整理 2008年7月22日

关键字：病毒查杀病毒木马

运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。 &url=http://security.zhiding.cn/security_zone/2008/0722/1003460.shtml&pic=&ralateUid=#1003460" class="s_wb" id="weibo">

病毒名称

　　Trojan-Downloader.Win32.Losabel.db

　　捕获时间

　　2008-3-7

　　病毒症状

　　该样本是使用Delphi编写的病毒程序，由微点主动防御软件自动捕获，采用NSpack加壳试图躲避杀毒软件特征码扫描，加壳后长度27,354字节，图标为Windows默认可执行文件图标，病毒扩展名为exe，主要的传播途径为网页挂马，文件捆绑，移动存储。

　　病毒分析

　　该样本程序被执行后，调用API函数CopyFileA拷贝自身到“％programfiles％\Common Files\System\”目录, “%programfiles%\Common Files\Microsoft Share\”目录和“%programfiles%”目录下，分别重命名为fkfhrra.exe,bydxsqj.exe,meex.exe，设置隐藏和系统属性；调用WinExec函数执行fkfhrra.exe后删除自身；fkfhrra.exe被执行后在“%programfiles%”目录下释放注册表储巢文件3.hiv，4.hiv作为病毒辅助文件；添加注册表启动项，使其能随系统一起启动；删除注册表相关键值使用户无法查看系统隐藏文件且无法进入安全模式；修改系统时间使部分杀软过期失效，以达到突破杀软的目的；遍历所有盘符，在其根目录下生成autorun.inf和yattsgm.exe，试图用Windows自动播放进行传播；使用映像劫持技术和修改文件名的方法使得大部分常用软件无法正常运行；搜索任务栏窗口，尝试结束任务管理器、IceWorld等进程查看工具以及部分调试器；删除“%SystemRoot%\system32\drivers\etc\hosts”，突破用户自设的IP防范措施，尝试连接网络后，调用API函数URLDownloadToFileA 从网络上下载多种木马病毒到本机并执行。

　　感染对象

　　Windows 2000/Windows XP/Windows 2003

　　传播途径

　　网页挂马，文件捆绑，移动存储

　　安全提示

　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理（如图1）；

　　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现" Trojan-Downloader.Win32.Losabel.db”，请直接选择删除（如图2）。

　　对于未使用微点主动防御软件的用户，微点反病毒专家建议：

　　1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。

　　2、建议关闭U盘自动播放，具体操作步骤：开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。

　　3、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

　　4、开启windows自动更新，及时打好漏洞补丁。

　　技术细节

　　Autorun.inf内容为：

　　[AutoRun]

　　open=.exe

　　shell\open=打开(&O)

　　shell\open\Command=.exe

　　shell\open\Default=1

　　shell\explore=资源管理器(&X)

　　shell\explore\Command=.exe

　　病毒删除的注册表项：

　　项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　键值：AVP

　　指向文件：“********\avp.exe” (“********”表示卡巴斯基安装路径)

　　项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

　　Advanced\Folder\Hidden\SHOWALL

　　键值：CheckedValue

　　数值： dword:00000001

　　项：HKLM\ SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

　　项：HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

　　项：HKLM\ SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

　　项：HKLM\ SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

　　病毒添加的注册表项：

　　项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　键值：aqetfjk

　　指向文件：“C:\Program Files\Common Files\System\fkfhrra.exe”

　　项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　键值：yattsgm

　　指向文件： “C:\Program Files\Common Files\Microsoft Shared\bydxsqj.exe”

　　映象截持的文件：

　　pfw.exe,FYFireWall.exe,rfwsrv.exe,rfwmain.exe,KAVPF.exe,nod32kui.exe,KPFW32.exe,nod32.exe,Navapsvc.exe,Navapw32.exe,avconsol.exe,webscanx.exe,NPFMntor.exe,vsstat.exe,zjb.exe,KPfwSvc.exe,RavTask.exe,Rav.exe,RavMon.exe,mmsk.exe,WoptiClean.exe,QQKav.exe,QQDoctor.exe,EGHOST.exe,360Safe.exe,iparmo.exe,adam.exe,IceSword.exe,360rpt.exe,360tray.exe,AgentSvr.exe,AppSvc32.exe,autoruns.exe,avgrssvc.exe,AvMonitor.exe,CCenter.exe,ccSvcHst.exe,FileDsty.exe,FTCleanerShell.exe,HijackThis.exe,Iparmor.exe,isPwdSvc.exe,kabaload.exe,KASMain.exe,KASTask.exe,KAV32.exe,KAVDX.exe,KAVPFW.exe,KAVSetup.exe,KAVStart.exe,KISLnchr.exe,KMailMon.exe,KMFilter.exe,KPFW32X.exe,KRegEx.exe,KsLoader.exe,KvDetect.exe,KvfwMcl.exe,kvol.exe,kvolself.exe,KVSrvXP.exe,kvupload.exe,kvwsc.exe,KWatch.exe,KWatch9x.exe,KWatchX.exe,loaddll.exe,MagicSet.exe,mcconsol.exe,mmqczj.exe,nod32krn.exe,PFWLiveUpdate.exe,QHSET.exe,RavMonD.exe,RavStub.exe,RegClean.exe,rfwcfg.exe,RsAgent.exe,Rsaupd.exe,safelive.exe,irsetup.exe,scan32.exe,shcfg32.exe,SmartUp.exe,SREng.EXE,symlcsvc.exe,SysSafe.exe,TrojanDetector.exe,Trojanwall.exe,UIHost.exe,UmxAgent.exe,UmxAttachment.exe,UmxCfg.exe,UmxFwHlp.exe,UmxPol.exe,UpLive.exe,upiea.exe,AST.exe,ArSwp.exe,USBCleaner.exe,rstrui.exe,QQSC.exe,ghost.exe,AvastU3.exe等文件。

　　被修改文件名称的文件（文件名被修改为cngu*,其中*为小于100的正数）：

　　svchost.exe,niu.exe,sbl.dll,wniapsvr.exe,shell.exe,shell.pci,csrss.exe,chost.exe,dream.exe,tasks.exe,forget.dll,systom.exe,ctfm0n.exe,native.exe,directx.exe,progmon.exe,internt.exe,SoftDll.exe,MySetup.exe,SocksA.exe,algssl.exe,plmmsbl.dll,servver.exe,chostbl.exe,lovesbl.dll,,netdde.exe,svrhostg.dll,wnipsvr.exe,Session.exe,algsrvs.exe,msfun80.exe,msime82.exe,msime80.exemsfir80.exe,fixfile.exe,MicrSoft.exe,WMDSINFO.dll,Mcshie1d.exe,Exp1orer.exe,snowfall.exe,compobj32.dll,snownClean.exe等文件。

　　下载木马病毒的地址：

　　http://www.******.com/ReadDown.txt

　　http://www.******.com/TDown1.exe