捕獲時間
2008-09-24
病毒摘要
該樣本是使用“Delphi ”編寫的“蠕蟲程序”,由微點主動防御軟件自動捕獲,采用“UPX”加殼方式試圖躲避特征碼掃描,加殼后長度為“213,504 字節”,圖標為
,使用“exe”擴展名,通過“下載器下載”、“移動存儲介質”等植入用戶計算機,運行后感染U盤、下載其他木馬程序到本地執行。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
下載器下載、移動存儲介質
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1);
圖1 主動防御自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Worm.Win32.AutoRun.dkg”,請直接選擇刪除(如圖2)。
圖2 升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶,微點反病毒專家建議:
1、不要在不明站點下載非官方版本的軟件進行安裝,避免病毒通過捆綁的方式進入您的系統。
2、建議關閉U盤自動播放,具體操作步驟:開始->運行->gpedit.msc->計算機配置->管理模板->系統->在右側找到"關閉自動播放"->雙擊->選擇"已啟用"。
3、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺,并開啟防火墻攔截網絡異常訪問,如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持。
4、開啟windows自動更新,及時打好漏洞補丁。
病毒分析
該樣本程序被執行后,拷貝自身到C:\Program Files\Common Files\System\
目錄下重新命名為“wab32srv.exe”,創建注冊表鍵值實現開機自啟動。并通過設置注冊表鍵值添加系統防火墻可信規則,使其可順利對外連接。并獲取系統用戶名和計算機名,檢測當前計算機的網絡環境,查詢DNS等網絡配置信息,連接IRC服務器“irc.anti***t.ru”接受黑客指令控制用戶計算機,
| |
注冊表創建的鍵值如下:
主 鍵 值:HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\
鍵 值:SystemService
指向數據:C:\Program Files\Common Files\System\wab32srv.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
鍵 值: C:\Program Files\Common Files\System\wab32srv.exe
指向數據: C:\Program Files\Common Files\System\wab32srv.exe |
|
枚舉盤符在各分區與移動存儲介質中釋放隱藏病毒文件 “ntldr.scr”與“autorun.inf”,autorun.inf文件內容如下:
| |
[AutoRun]
open= ntldr.scr
shellexecute= ntldr.scr
shell\Auto\command= ntldr.scr |
|
