捕獲時間
2008-10-15
病毒摘要
該樣本是使用“Delphi”編寫的蠕蟲程序,由微點主動防御軟件自動捕獲,采用“UPX”加殼方式試圖躲避特征碼掃描,加殼后長度為“15,876 字節(jié)”,圖標為
,使用“exe”擴展名,通過“網(wǎng)頁木馬”、“移動存儲介質(zhì)”、“壓縮包感染”、“ 局域網(wǎng)傳播”等途徑植入用戶計算機,運行后下載其他木馬程序到本地運行。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網(wǎng)頁木馬、文件捆綁
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設(shè)置,微點主動防御將自動保護您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發(fā)現(xiàn)該病毒后將報警提示您發(fā)現(xiàn)“未知木馬”,請直接選擇刪除處理(如圖1);
圖1 主動防御自動捕獲未知病毒(未升級)
如果您已經(jīng)將微點主動防御軟件升級到最新版本,微點將報警提示您發(fā)現(xiàn)"Worm.Win32.AutoRun.gut”,請直接選擇刪除(如圖2)。
圖2 升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶,微點反病毒專家建議:
1、不要在不明站點下載非官方版本的軟件進行安裝,避免病毒通過捆綁的方式進入您的系統(tǒng)。
2、建議關(guān)閉U盤自動播放,具體操作步驟:開始->運行->gpedit.msc->計算機配置->管理模板->系統(tǒng)->在右側(cè)找到"關(guān)閉自動播放"->雙擊->選擇"已啟用"。
3、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺,并開啟防火墻攔截網(wǎng)絡(luò)異常訪問,如依然有異常情況請注意及時與專業(yè)的安全軟件廠商聯(lián)系獲取技術(shù)支持。
4、開啟windows自動更新,及時打好漏洞補丁。
病毒分析
該樣本程序被執(zhí)行后,拷貝自身到目錄%systemroot%\Tasks\下并重命名為“kav32.exe”,使用批處理啟動自身;在同一目錄下釋放腳本文件“pig.vbs” ,動態(tài)庫文件“wsock32.dll”以及“安裝.bat”,其中“pig.vbs”的內(nèi)容如下:
| |
On Error Resume Next
Set rs=createObject("Wscript.shell")
rs.run "%windir%\Tasks\kav32.exe",0 |
|
修改如下注冊表健值使得開機自啟動,后調(diào)用批處理執(zhí)行自刪除。
| |
項:
HKLM\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{H8I22RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}\
鍵值:stubpath
指向數(shù)據(jù):%windir%\Tasks\pig.vbs |
|
病毒程序“kav32.exe”運行后,執(zhí)行以下動作
遍歷進程查找如下進程,如存在則強制結(jié)束:
| |
360tray.exe
Iparmor.exe
WEBSCANX.EXE
TBSCAN.EXE
TrojanHunter.exe
THGUARD.EXE
FWMon.exe
mmsk.exe
vptray.exe |
|
查找窗口名為如下字符的窗口,通過向其發(fā)送相關(guān)消息使其關(guān)閉。
| |
專殺
監(jiān)視
監(jiān)控
后門
攔截
殺毒
Worm
卡巴斯基
超級巡警
江民
離線升級包
金山
nod32
process
進程
進 程
檢測
防火墻
主動防御
微點
瑞星
狙劍
上報
系統(tǒng)安全
綠鷹
安全衛(wèi)士
舉報
舉 報 |
|
感染以“html”,“htm”,“asp”,“aspx”,“php”,“jsp”擴展名文件;刪除以“gho”擴展名的文件防止通過ghost進行系統(tǒng)恢復(fù)。
以當前機器的IP地址為參考,以“administrator”為用戶名對局域網(wǎng)中其他機器進行密碼猜解。如果成功則復(fù)制病毒副本“kav32.exe”到對方機器的共享“C”、“D”、“E”、“F”盤中,使用“at命令”等待“1分鐘”后執(zhí)行病毒拷貝,如果執(zhí)行失敗再次調(diào)用此命令等待“2分鐘”后執(zhí)行。
病毒猜解的密碼字典如下:
| |
xp
home
love
123
nn
root
administrator
test
admin
guest
alex
user
game
123456movie
time
yeah
money
xpuser
hack
enter
new
password
111
123456
qwerty
test
abc123
memory
12345678
bbbbbb
88888
caonima
5201314
1314520
asdfgh
alex
angel
null
asdf
baby
woaini
movie |
|
通過查找%ProgramFiles%的環(huán)境變量獲得“winrar”安裝路徑,遍歷所有分區(qū)下的“.rar”,“.zip”,“.tgz”,“.cab”,“.tar”文件,后臺調(diào)用“winrar”程序,執(zhí)行命令“\RAR.exe -ep a ”把病毒副本“安裝.bat”壓縮進壓縮包,誘使用戶點擊。
查找hosts文件寫入如下數(shù)據(jù):
| |
127.0.0.1 www.360.cn
127.0.0.1 www.360safe.cn
127.0.0.1 www.360safe.com
127.0.0.1 www.chinakv.com
127.0.0.1 www.rising.com.cn
127.0.0.1 rising.com.cn
127.0.0.1 dl.jiangmin.com
127.0.0.1 jiangmin.co
127.0.0.1 www.jiangmin.com 203.208.37.99 www.duba.net
127.0.0.1 www.eset.com.cn
127.0.0.1 www.nod32.com 203.208.37.99 shadu.duba.net 203.208.37.99 union.kingsoft.com
127.0.0.1 www.kaspersky.com.cn
127.0.0.1 kaspersky.com.cn
127.0.0.1 www.kaspersky.com
127.0.0.1 60.210.176.251
127.0.0.1 www.cnnod32.cn
127.0.0.1 www.lanniao.org
127.0.0.1 www.nod32club.com
127.0.0.1 www.dswlab.com
127.0.0.1 bbs.sucop.com
127.0.0.1 www.virustotal.com
127.0.0.1 tool.ikaka.c
127.0.0.0 360.qihoo.com
127.0.0.1 qihoo.com
127.0.0.1 www.qihoo.com
127.0.0.1 www.qihoo.cn
127.0.0.1 124.40.51.17
127.0.0.1 58.17.236.92 |
|
遍歷各磁盤查看是否有“autorun.inf”文件,如果有將其刪除并寫入新的“autorun.inf”,創(chuàng)建“recycle.{645FF040-5081-101B-9F08-00AA002F954E}”文件夾,在該文件夾內(nèi)寫入病毒副本“kav32.exe”,設(shè)置上述文件為“只讀”、“系統(tǒng)”、“隱藏”屬性。
遍歷所有文件夾并且將“%systemroot%\Tasks\wsock32.dll ”復(fù)制到每個文件夾下,設(shè)其屬性為“隱藏”,當該文件夾下的PE文件調(diào)用系統(tǒng)wsock32.dll導(dǎo)出函數(shù)時,會首先調(diào)用同文件夾下的wsock32.dll,聯(lián)網(wǎng)下載病毒程序。
