Trojan.Clampi

打印机友好页面

已发现: January 16, 2008
更新: February 23, 2010 11:14:01 PM
别称: Win32/Ilomo.BC [Computer Associates], TROJ_ILOMO.B [Trend]
类型: Trojan
感染长度: 402,952 字节
受影响的系统: Windows

Trojan.Clampi 是一种特洛伊木马,它连接到远程服务器,并会将最近的更新或其他威胁下载到受感染计算机。

注意:

  • 赛门铁克安全响应中心发现自 2009 年 7 月 1 日以来,此特洛伊木马的感染数量不断增加。
  • 此特洛伊木马不具备自行传播的功能,但它会使用下列合法工具在网络中进行传播:PsExec
  • Symantec Endpoint Protection 11 或更高版本的用户可以配置其软件,以阻止 PsExec 的执行。 以下 MD5 散列应该与文章《如何在 Symantec Endpoint Protection 11.0 中配置应用程序控制》中提供的指导结合使用:0x9178451979c2192c71eb286de3e1b2f7


有关详细信息,请阅读:

病毒防护日期

  • 首次快速发布版本 January 18, 2008 修订版 040
  • 最新快速发布版本 July 22, 2019 修订版 005
  • 首次每日认证版本 January 17, 2008 修订版 033
  • 最新每日认证版本 July 22, 2019 修订版 007
  • 首次每周认证发布日期 January 23, 2008

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.


技术详细信息

特洛伊木马执行时会询问受感染计算机所在地,如果国家名称以“R”开头,则退出。

然后它将其自身复制为下列文件之一:

  • %Temp%\[ORIGINAL FILE NAME].exe
  • %System%\regscan.exe
  • %UserProfile%\Application Data\svchosts.exe
  • %UserProfile%\Application Data\taskmon.exe
  • %UserProfile%\Application Data\rundll.exe
  • %UserProfile%\Application Data\service.exe
  • %UserProfile%\Application Data\sound.exe
  • %UserProfile%\Application Data\upnpsvc.exe
  • %UserProfile%\Application Data\lsas.exe
  • %UserProfile%\Application Data\logon.exe
  • %UserProfile%\Application Data\helper.exe
  • %UserProfile%\Application Data\event.exe
  • %UserProfile%\Application Data\dumpreport.exe
  • %UserProfile%\Application Data\msiexeca.exe


请注意:
特洛伊木马会修改放入文件的时间戳以与下面的文件匹配:
%System%\Kernel32.dll

接下来,特洛伊木马创建下列注册表项,以便在 Windows 启动时运行:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM NAME]" = "[PATH TO TROJAN]"

请注意: [RANDOM NAME] 从下面列表中选取:
  • CrashDump
  • EventLog
  • Init
  • lsass
  • Regscan
  • RunDll
  • 设置
  • Sound
  • svchosts
  • 系统
  • TaskMon
  • UPNP
  • Windows


然后它创建下列注册表项:
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"GID" = "[EIGHT CHARACTERS]"
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"GatesList" = "[HEXADECIMAL CHARACTERS]"
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"KeyM" = "[HEXADECIMAL CHARACTERS]"
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"KeyE" = "65537"
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"PID" = "[BINARY DATA]"

接下来,特洛伊木马试图联系恶意网站,以便下载更多组件。下载的组件以加密形式存储在下列注册表项中:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"M[TWO HEXADECIMAL DIGITS]" = "[BINARY DATA]"

下载的组件可提供下列功能:
  • 获得对远程计算机的访问权限并通过网络进行传播
  • 从大量不同的应用程序窃取身份验证信息并将其发送给远程攻击者


然后,特洛伊木马连接到下列 URL,通过此链接可以将最近的更新或其他威胁下载到受感染计算机:
  • anamality.info
  • criticalfactor.cc
  • wiredx.in
  • webmail.re-factoring.cn
  • drugs4sale.loderunner.in
  • pop3.re-factoring.cn
  • secure.loderunner.in
  • try.mojitoboom.in
  • direct.matchbox.vc
  • host.cfiflistmanager.org
  • 147.202.39.101
  • 174.142.22.51
  • 195.189.247.110
  • 195.225.236.4
  • 209.85.120.100
  • 61.153.3.48
  • 64.18.143.52
  • 66.128.55.82
  • 66.199.237.3
  • 66.225.237.140
  • 66.7.197.104
  • 66.96.234.5
  • 66.98.144.21
  • 66.98.153.17
  • 67.15.150.130
  • 67.15.161.131
  • 67.15.236.244
  • 69.172.130.201
  • 69.57.140.18
  • 70.84.236.194
  • 72.233.28.167
  • 72.29.66.235
  • 78.108.183.225
  • 78.109.29.129
  • 78.109.30.213
  • 78.109.31.54
  • 78.47.214.117
  • 78.47.61.229
  • 78.47.61.232
  • 83.175.218.163
  • 84.16.229.188
  • 87.118.101.27
  • 87.118.88.30
  • 92.48.96.229
  • 94.75.221.70


此特洛伊木马不具备自行传播的功能,但它会下载包含下列合法实用程序的组件:
PsExec

然后它可以使用上述实用程序获得对远程计算机的访问权限,并通过网络进行传播。

建议

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.


删除

以下指导适用于最新和最近的所有赛门铁克防病毒产品(包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品)。

  1. 禁用系统还原 (Windows Me/XP)。
  2. 更新病毒定义。
  3. 运行全面的系统扫描。
  4. 删除添加到注册表的任何值。

有关每个步骤的详细信息,请参阅下列说明。

1. 禁用系统还原 (Windows Me/XP)
如果正在运行 Windows Me 或 Windows XP,建议您暂时关闭系统还原功能。此功能由系统默认为启用状态,一旦计算机中的文件遭到破坏,Windows Me/XP 可使用此功能还原文件。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。

Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法清除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。

此外,病毒扫描也可能在 System Restore 文件夹中检测到威胁,即使您已清除此威胁。

有关如何关闭系统还原功能的说明,请参阅 Windows 文档或下列文章之一:

注意: 当您完全完成杀毒步骤,并确定威胁已清除后,请按照上述文档中的说明重新启用系统还原。

有关其他信息,以及禁用 Windows Me 系统还原的其他方法,请参阅 Microsoft 知识库文章:病毒防护工具无法清除 _Restore 文件夹中受感染的文件 (文章编号:Q263455)。

2. 更新病毒定义
赛门铁克安全响应中心在向我们的服务器发布任何病毒定义之前,会对其进行全面测试以保证质量。可以通过两种方式获得最新的病毒定义:
  • 运行 LiveUpdate,这是获得病毒定义最简便的方法。

    如果是使用 Norton AntiVirus、Symantec AntiVirus Corporate Edition 10.0 或更新版本的产品,请每天更新一次 LiveUpdate 病毒定义。这些产品使用了更新的技术。

    如果使用 Norton AntiVirus 2005、Symantec AntiVirus Corporate Edition 9.0 或更早版本的产品,请每周更新一次 LiveUpdate 病毒定义。出现重大病毒爆发的异常情况时,定义更新会更加频繁。


  • 使用智能更新程序下载病毒定义: 智能更新程序病毒定义每天发布一次。 您应当从赛门铁克安全响应中心网站下载定义并手动安装它们。

最新的 Intelligent Updater 病毒定义可由此处获得:Intelligent Updater(智能更新程序)病毒定义 。有关详细说明,请参阅文档:如何使用 Intelligent Updater(智能更新程序)更新病毒定义文件

3. 运行全面的系统扫描
  1. 启动赛门铁克防病毒程序,并确保已将其配置为扫描所有文件。

    对于 Norton AntiVirus 单机版产品:请参阅文档:How to configure Norton AntiVirus to scan all files(如何配置 Norton AntiVirus 以扫描所有文件)

    对于 Symantec AntiVirus 企业版产品:请参阅文档:如何确定赛门铁克企业版防病毒产品是否已设置为扫描所有文件


  2. 运行全面的系统扫描。
  3. 如果检测到任何文件,请按照防病毒程序所显示的说明操作。
重要: 如果您无法开始您的 Symantec 抗病毒产品或产品报道它不可能删除一个检测文件,您可能需要从为了去除它的运行终止风险。 要完成此操作,请在安全模式下运行扫描。有关指示,请参阅文档:如何以安全模式启动计算机 。以安全模式重新启动后,再次运行扫描。
删除文件后,以正常模式重新启动计算机,然后继续执行下一部分。

计算机重新启动时可能会显示警告消息,因为此时威胁尚未得到完全清除。可以忽略这些消息并单击“确定”。清除作业彻底完成后,重新启动计算机时这些消息将不再出现。所显示的消息可能如下所示:

标题: [文件路径]
消息正文: Windows 无法找到 [文件名]。 请确保键入了正确的名称,然后重试。要搜索文件,请单击“开始”按钮,然后单击“搜索”。

4. 从注册表删除值
重要信息: 赛门铁克强烈建议在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的子项。有关说明,请参阅文档:如何备份 Windows 注册表
  1. 单击“开始”>“运行”
  2. 键入 regedit
  3. 单击“确定”。

    注意:如果无法打开注册表编辑器,则威胁可能已经修改了注册表以防止进入注册表编辑器。安全响应中心已开发了一种工具以解决此问题。下载并运行此工具,然后继续杀毒。

  4. 导航至下列注册表项并将其删除:

    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM NAME]" = "[PATH TO TROJAN]"
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"GID" = "[EIGHT CHARACTERS]"
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"GatesList" = "[HEXADECIMAL CHARACTERS]"
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"KeyM" = "[HEXADECIMAL CHARACTERS]"
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"KeyE" = "65537"
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"PID" = "[BINARY DATA]"
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\"M[TWO HEXADECIMAL DIGITS]" = "[BINARY DATA]"

  5. 退出注册表编辑器。

    注意:如果该风险在 HKEY_CURRENT_USER 下面创建或修改了注册表子项或注册表项,则其可能会为受感染的计算机上的每个用户创建这些项。若要删除或恢复所有注册表子项或注册表项,请使用各个用户帐户登录,然后检查上面所列的所有 HKEY_CURRENT_USER 项。

描述者: Jarrad Shearer