捕獲時(shí)間
2008-10-15
病毒摘要
該樣本是使用“Delphi”編寫(xiě)的蠕蟲(chóng)程序�����,由微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲�,采用“UPX”加殼方式試圖躲避特征碼掃描,加殼后長(zhǎng)度為“15,876 字節(jié)”���,圖標(biāo)為
����,使用“exe”擴(kuò)展名,通過(guò)“網(wǎng)頁(yè)木馬”����、“移動(dòng)存儲(chǔ)介質(zhì)”��、“壓縮包感染”、“ 局域網(wǎng)傳播”等途徑植入用戶計(jì)算機(jī)�,運(yùn)行后下載其他木馬程序到本地運(yùn)行�����。
感染對(duì)象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網(wǎng)頁(yè)木馬、文件捆綁
防范措施
已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶���,無(wú)須任何設(shè)置,微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞���。無(wú)論您是否已經(jīng)升級(jí)到最新版本,微點(diǎn)主動(dòng)防御都能夠有效清除該病毒�����。如果您沒(méi)有將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版��,微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“未知木馬”����,請(qǐng)直接選擇刪除處理(如圖1)����;
圖1 主動(dòng)防御自動(dòng)捕獲未知病毒(未升級(jí))
如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版本,微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)"Worm.Win32.AutoRun.gut”����,請(qǐng)直接選擇刪除(如圖2)���。
圖2 升級(jí)后截獲已知病毒
對(duì)于未使用微點(diǎn)主動(dòng)防御軟件的用戶���,微點(diǎn)反病毒專(zhuān)家建議:
1����、不要在不明站點(diǎn)下載非官方版本的軟件進(jìn)行安裝����,避免病毒通過(guò)捆綁的方式進(jìn)入您的系統(tǒng)。
2�����、建議關(guān)閉U盤(pán)自動(dòng)播放���,具體操作步驟:開(kāi)始->運(yùn)行->gpedit.msc->計(jì)算機(jī)配置->管理模板->系統(tǒng)->在右側(cè)找到"關(guān)閉自動(dòng)播放"->雙擊->選擇"已啟用"�����。
3���、盡快將您的殺毒軟件特征庫(kù)升級(jí)到最新版本進(jìn)行查殺��,并開(kāi)啟防火墻攔截網(wǎng)絡(luò)異常訪問(wèn)�����,如依然有異常情況請(qǐng)注意及時(shí)與專(zhuān)業(yè)的安全軟件廠商聯(lián)系獲取技術(shù)支持����。
4�、開(kāi)啟windows自動(dòng)更新,及時(shí)打好漏洞補(bǔ)丁。
病毒分析
該樣本程序被執(zhí)行后�,拷貝自身到目錄%systemroot%\Tasks\下并重命名為“kav32.exe”��,使用批處理啟動(dòng)自身;在同一目錄下釋放腳本文件“pig.vbs” ���,動(dòng)態(tài)庫(kù)文件“wsock32.dll”以及“安裝.bat”,其中“pig.vbs”的內(nèi)容如下:
| |
On Error Resume Next
Set rs=createObject("Wscript.shell")
rs.run "%windir%\Tasks\kav32.exe",0 |
|
修改如下注冊(cè)表健值使得開(kāi)機(jī)自啟動(dòng)�,后調(diào)用批處理執(zhí)行自刪除�。
| |
項(xiàng):
HKLM\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{H8I22RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}\
鍵值:stubpath
指向數(shù)據(jù):%windir%\Tasks\pig.vbs |
|
病毒程序“kav32.exe”運(yùn)行后�,執(zhí)行以下動(dòng)作
遍歷進(jìn)程查找如下進(jìn)程,如存在則強(qiáng)制結(jié)束:
| |
360tray.exe
Iparmor.exe
WEBSCANX.EXE
TBSCAN.EXE
TrojanHunter.exe
THGUARD.EXE
FWMon.exe
mmsk.exe
vptray.exe |
|
查找窗口名為如下字符的窗口��,通過(guò)向其發(fā)送相關(guān)消息使其關(guān)閉��。
| |
專(zhuān)殺
監(jiān)視
監(jiān)控
后門(mén)
攔截
殺毒
Worm
卡巴斯基
超級(jí)巡警
江民
離線升級(jí)包
金山
nod32
process
進(jìn)程
進(jìn) 程
檢測(cè)
防火墻
主動(dòng)防御
微點(diǎn)
瑞星
狙劍
上報(bào)
系統(tǒng)安全
綠鷹
安全衛(wèi)士
舉報(bào)
舉 報(bào) |
|
感染以“html”,“htm”,“asp”,“aspx”,“php”,“jsp”擴(kuò)展名文件�����;刪除以“gho”擴(kuò)展名的文件防止通過(guò)ghost進(jìn)行系統(tǒng)恢復(fù)。
以當(dāng)前機(jī)器的IP地址為參考����,以“administrator”為用戶名對(duì)局域網(wǎng)中其他機(jī)器進(jìn)行密碼猜解��。如果成功則復(fù)制病毒副本“kav32.exe”到對(duì)方機(jī)器的共享“C”、“D”、“E”、“F”盤(pán)中�����,使用“at命令”等待“1分鐘”后執(zhí)行病毒拷貝����,如果執(zhí)行失敗再次調(diào)用此命令等待“2分鐘”后執(zhí)行�����。
病毒猜解的密碼字典如下:
| |
xp
home
love
123
nn
root
administrator
test
admin
guest
alex
user
game
123456movie
time
yeah
money
xpuser
hack
enter
new
password
111
123456
qwerty
test
abc123
memory
12345678
bbbbbb
88888
caonima
5201314
1314520
asdfgh
alex
angel
null
asdf
baby
woaini
movie |
|
通過(guò)查找%ProgramFiles%的環(huán)境變量獲得“winrar”安裝路徑�,遍歷所有分區(qū)下的“.rar”,“.zip”,“.tgz”,“.cab”,“.tar”文件,后臺(tái)調(diào)用“winrar”程序��,執(zhí)行命令“\RAR.exe -ep a ”把病毒副本“安裝.bat”壓縮進(jìn)壓縮包�,誘使用戶點(diǎn)擊。
查找hosts文件寫(xiě)入如下數(shù)據(jù):
| |
127.0.0.1 www.360.cn
127.0.0.1 www.360safe.cn
127.0.0.1 www.360safe.com
127.0.0.1 www.chinakv.com
127.0.0.1 www.rising.com.cn
127.0.0.1 rising.com.cn
127.0.0.1 dl.jiangmin.com
127.0.0.1 jiangmin.co
127.0.0.1 www.jiangmin.com 203.208.37.99 www.duba.net
127.0.0.1 www.eset.com.cn
127.0.0.1 www.nod32.com 203.208.37.99 shadu.duba.net 203.208.37.99 union.kingsoft.com
127.0.0.1 www.kaspersky.com.cn
127.0.0.1 kaspersky.com.cn
127.0.0.1 www.kaspersky.com
127.0.0.1 60.210.176.251
127.0.0.1 www.cnnod32.cn
127.0.0.1 www.lanniao.org
127.0.0.1 www.nod32club.com
127.0.0.1 www.dswlab.com
127.0.0.1 bbs.sucop.com
127.0.0.1 www.virustotal.com
127.0.0.1 tool.ikaka.c
127.0.0.0 360.qihoo.com
127.0.0.1 qihoo.com
127.0.0.1 www.qihoo.com
127.0.0.1 www.qihoo.cn
127.0.0.1 124.40.51.17
127.0.0.1 58.17.236.92 |
|
遍歷各磁盤(pán)查看是否有“autorun.inf”文件����,如果有將其刪除并寫(xiě)入新的“autorun.inf”�,創(chuàng)建“recycle.{645FF040-5081-101B-9F08-00AA002F954E}”文件夾�����,在該文件夾內(nèi)寫(xiě)入病毒副本“kav32.exe”����,設(shè)置上述文件為“只讀”�����、“系統(tǒng)”����、“隱藏”屬性�。
遍歷所有文件夾并且將“%systemroot%\Tasks\wsock32.dll ”復(fù)制到每個(gè)文件夾下,設(shè)其屬性為“隱藏”�,當(dāng)該文件夾下的PE文件調(diào)用系統(tǒng)wsock32.dll導(dǎo)出函數(shù)時(shí)���,會(huì)首先調(diào)用同文件夾下的wsock32.dll,聯(lián)網(wǎng)下載病毒程序���。
