[资讯]计算机病毒预报（2012年11月26日至2012年12月02日）

W32.Extrat警惕程度★★★影响平台：Win 9X/ME/NT/2000/XP/Server 2003/Vista

  W32.Extrat是一个蠕虫，它通过可移动驱动器和P2P共享网络传播，并在受感染计算机上打开一个后门。

    该蠕虫关联到以下远程访问工具：

Xtreme RAT

Spy-Net RAT

   该蠕虫执行时，会创建下列文件：

%Windir%\installdir\server.exe

   接着，它创建下列的注册表项，使得系统启动时，蠕虫也开始执行：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\"Policies" = "%Windir%\installdir\server.exe"

预防和清除：

Backdoor.Makadocs警惕程度★★★影响平台：Win 9X/ME/NT/2000/XP/Server 2003/Vista

  Backdoor.Makadocs是一个木马，它在受感染计算机上打开一个后门，并试图窃取受感染计算机上的信息。

   该木马会链接到Google文档，并利用它作为代理，获取下面的远程命令与控制服务器的命令 ：

83.222.226.158

akamaihub.com

msupdatecdn.com

stocksengine.net

   该木马可能在受感染的计算机上执行下列命令：

打开一个控制台

下载并执行文件

删除自身

关闭自身进程

   接着，它会下载并执行以下文件：

%CurrentFolder%\scvhost.exe

   接着，木马会把下列信息发送到远程位置：

后门程序状态

后门程序的版本号

当前文件夹的路径

域

域管理员的用户名

主机名

本地管理员的用户名

操作系统类型

用户名

预防和清除：

  不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。

TrojanDropper.Agent.bxlb

警惕程度★★★

   TrojanDropper.Agent.bxlb 是网上银行钓鱼程序的释放文件,它的主要功能是为网银劫持环境做准备,程序启动后会将自身复制到C:Program Files目录下重命名为zhudong.exe文件,并且从资源中加载释放网银劫持程序,C:Program Fileszhuanye.exe。将程序添加到开机注册表启动项中,创建Notepad.exe进程，Notepad.exe为傀儡进程,创建的时候暂停加载,得到进程的内存的地址，释放后重新申请内存地址,把zhuanye.exe全部映射到Notepad.exe进程中,修改程序执行点运行。

病毒行为流程分析:一、

    TrojanDropper.Agent.bxlb 病毒程序被加密壳保护，加密壳具备反调试器，反脱壳，反dump等手法，再后面描述中不对加壳引擎进行讨论。

    TrojanDropper.Agent.bxlb 运行后首先检测系统环境，得到系统目录的路径，访问系统文件夹下NOTEPAD.EXE(记事本)文件，并且隐藏打开。将自身复制到C:Program Files目录下存放，重命名为zhudong.exe ，并且从自身资源中释放文件到C:Program Fileszhuanye.exe。

添加开机注册表项HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun,每次系统重新启动后会自动加载zhudong.exe。

二、 

    创建notepad.exe进程,创建时候就把它挂起。然后得到它的装载基址，使用函数ZwUnmapViewOfSection来卸载这个这个基址内存空间的数据，。再用VirtualAllocEx来个notepad.exe进程重新分配内存空间，大小为要注入程序的大小(就是自身的imagesize)。使用WriteProcessMemory重新写notepad.exe进程的基址，就是刚才分配的内存空间的地址。再用WriteProcessMemory把自己的代码写入notepad.exe的内存空间。用SetThreadContext设置下进程状态，最后使用ResumeThread继续运行notepad.exe进程。（进程劫持类病毒一直使用的技术手段）

    Notepad.exe 进程内写入的病毒程序为C:Program Fileszhuanye.exe，它的大小为100M，垃圾数据比较多，在将此病毒脱壳处理后的大小为517 KB，释放的大小为100M，是为了躲避杀毒软件的云鉴定查杀的功能。

　　其自身隐藏在NotePad.exe中，它的父进程为zhudong.exe，再对NotePad.exe的进程地址空间修改数据后,父进程退出，这时候杀毒软件查杀到了Notepad.exe进程中的数据为病毒时,要上报样本，而父进程已经退出，只能取Notepad.exe来上报,此方法为了躲避杀毒软件得到病毒样本。

三、 

    当Notepad.exe 进程被篡改后，且运行起来了，为了避免防火墙对进程进行拦截，病毒的作者在baidu里申请了自己的空间，并将真实的配置文件网址存放在自己空间中。再取得到空间的地址后,进行相关配置文件的下载。并且安装系统钩子函数,监视网页相关的进程。对访问网银购买物品的客户,到付款页面的时候，构造自己购买游戏充值卡的页面，当付款页面到达的时候会直接弹出窗口让用户付款，如果客户不在意两个金额而直接付款钱就直接被扣了。监视的页面主要是支付网关的操作。

　　下图中有此劫持购买的程序所对哪些支付网关有监控，购买跳出页面的则是ztgame的充值卡。并修改相关的网页数据达到欺骗的用户付款的目的。

释放文件

TrojanDropper.Agent.bxlb 运行

    释放

    C:Program Fileszhudong.exe (TrojanDropper.Agent.bxlb自身文件)

    C:Program Fileszhuanye.exe(释放出来的劫持网银购买的)

访问网络

    Zhuanye.exe映射到Notepad.exe中，访问 hi.baidu.com/22222ewq/item/a9d17f3ab4b5817081f1a7f4（取得自己的网址cnaaa6.com）

    qweasdzxc.ri218t.cnaaa6.com/dlog.txt (取得IP配置文件)

    iframe.ip138.com/city.asp (得到当前主机的外网ip)

预防和清除：
1、删除C:Program Fileszhuanye.exe,C:Program Fileszhudong.exe
2、删除HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun下键值zhudong