Win32.Troj.SecretAgent.cd.200704是个利用FLASH漏洞进行传播的病毒下载器。它进入电脑后会破坏多款国产杀毒软件和安全辅助软件的正常运行,然后下载盗号木马到系统中运行。运行完毕后就完全删除自己的全部文件,不留下一点痕迹。
1. 关闭毒霸、瑞星等安全软件的进程、并将安全软件的主要程序程序替换
为无效的文件。
2. 禁用系统安全中心、windows 防火墙、系统还原。
3. 结束360 的进程、删除其进程文件。并修改360 的设置,使360 的保护
失效。
4. 释放木马下载者病毒。
5. 删除病毒运行过程中生成的所有文件(不含释放的木马下载者)。注:此
项可配置,若不设置,病毒会释放副本C:Progra~1RealtekAPPathRTHDCPL.ex,
e,并为之创建启动项:HKLMSoftWareMicrosoftWindowsCurrentVersionRunS
oundma n。
1.将本进程文件移动到同盘的根目录,且重命名为x:NTDUBECT.exe
2.根据查找是否有avp.exe 进程、是否可以修改系统时间来检测当前系统中是否
有装有卡巴斯基,若有,程序返回。
3.禁用系统安全中心、windows 防火墙、系统还原。
4.设置HKLMsoftware360safesa femon 子键下的ExecAccess,SiteAccess, MonAcc
ess, VDisk Access, ARPAccess, IEProtAccess 为0.
检测当前系统中是否有360tray.exe、360safe.exe,若有,结束进程、删除进程
文件。
5.检测系统中是否有ravmond.exe、kwatch.exe 、kasma in.exe。若有:
1) 将进程资源RCDATA/"ANTIR"释放到%temp%ANTIR.exe 。
2) 将进程资源RCDATA/"KNLPS"释放到%temp%ANTIR.sys 。
3) 生成批处理脚本%temp%tmp.bat,内容为:(以下%temp%代表C:DOCUME
~1xzLOCALS~1Temp)
cd %temp%
%temp%ANTIR.exe -f $安全进程软件的进程id
del C:DOCUME~1xzLOCALS~1TempANTIR.exe;C:DOCUME~1xzLO
CALS~1TempANTIR.sys;C:DOCUME~1xzLOCALS~1Temptmp.bat
进程可为rfwsrv.exe, rfwmain.exe, kwatch.exe, kissvc.exe, kpfwsvc.exe, safebo
xTray.exe, RavMonD.exe
4) 调用WinExec("tmp.bat", SW_HIDE)执行脚本关闭安全软件的监控进程、删
除自身的文件。
5) 等待脚本被成功删除。最多等待10s。
6) 病毒利用自己的另一个文件antir.Exe和驱动文件antir.Sys,查询并替换毒霸和瑞星的文件。
7) (本样本无此行为)若系统中, RavMonD.exe、kwatch.exe 进程已经不存在,
且GEN_RTHDCPL 标志被设置,
若当前系统为NT(dwPla tformID, VER_PLATFORM_WIN32_NT), 创建启
动项:
HKLMSoftWareMicrosoftWindowsCurrentVersionRunSoundma n "C:Pr
ogra~1RealtekAPPathRTHDCPL.exe"
6.再次检测是否存在avp.exe 进程,若存在:
1) 调用mixer* 函数静音
2) 将系统年份修改为2000 年
3) 打开声音
4) 循环15 次设置系统时间
5) 再次禁用系统安全中心、windows 防火墙、系统还原。
设置HKLMsoftware360safesa femon 子键下的ExecAccess,SiteAccess, Mon
Access, VDisk Access, ARPAccess, IEProtAccess 为0.
检测当前系统中是否有360tray.exe、360safe.exe,若有,结束进程、删除
进程文件。
6) 再次检测系统中是否有ravmond.exe、kwatch.exe 、kasma in.exe。
7) 将RCDATApackageinfo 保存为%temp%setup.exe, 并执行setup.exe。此文
件为一个木马下载者。
7.建立映像劫持,此项可由配置信息控制。
8.(本样本无此行为)恢复原来的时间,此项可由配置信息控制。
8.若生成了NTDUBECT.exe, 调用命令行"cmd /c del"删除之。
