捕獲時間
2008-12-4
病毒摘要
該樣本是使用“ VC ”編寫的蠕蟲程序,由微點主動防御軟件自動捕獲,程序未加殼,文件長度為“95,556字節”,圖標為“
”,使用“exe”擴展名,通過“網頁木馬”、“文件捆綁”、“移動存儲介質”等途徑植入用戶計算機,運行后感染文件并聯網下載其他木馬到本地運行。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬、文件捆綁、移動存儲介質
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1);
圖1 主動防御自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Worm.Win32.AutoRun.imd”,請直接選擇刪除(如圖2)。
圖2 升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶,微點反病毒專家建議:
1、不要在不明站點下載非官方版本的軟件進行安裝,避免病毒通過捆綁的方式進入您的系統。
2、建議關閉U盤自動播放,具體操作步驟:開始->運行->gpedit.msc->計算機配置->管理模板->系統->在右側找到"關閉自動播放"->雙擊->選擇"已啟用"。
3、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺,并開啟防火墻攔截網絡異常訪問,如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持。
4、開啟windows自動更新,及時打好漏洞補丁。
病毒分析
該樣本程序被執行后,創建名為“fuall”的互斥體,防止程序的再次調用,拷貝自身到%SystemRoot%\System32\與%SystemRoot%\System32\dllcache目錄下,名稱分別為“xpserve.exe”、“lsoss.exe”,并修改“xpserve.exe”文件屬性為“隱藏”。
修改如下注冊表健值實現病毒隨機啟動、不顯示隱藏文件、禁止使用DOS程序、禁止使用注冊表編輯器、屏蔽[Internet選項]的[安全]選項卡:
| |
項:HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
健值:System
指向數據:%System%\dllcache\lsoss.exe"
項:HKCU\ Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
健值:ShowSuperHidden
指向數據:1
項:HKCU\ Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced \Folder
\Superhidden
健值:type
指向數據:checkbox
項:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
健值:NoCommon Groups
指向數據:1
項:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WinOld-App\Disabled
健值:Disabled
指向數據:1
健值:NoRealMode
指向數據:1
項:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
健值:DisableRegistryTools
指向數據:1
項:HKCU\Software\Policies\Microsoft\Internet Explorer\Control Pane
健值:SecurityTab
指向數據:1 |
|
刪除注冊表相關鍵值破壞安全模式,阻止用戶進入安全模式:
| |
項:
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
項:
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
項:
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
項:
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} |
|
刪除映象劫持、計算機管理CLSID、注冊表信息文件所對應的注冊表健值:
| |
項:
HKLM\ Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
項:
HKCU\Software\Policies\Microsoft\MMC\{58221C66-EA27-11CF-ADCF-00AA00A80033}
項:
HKLM\ Software\Classes\regfile\shell\open\command |
|
遍歷非系統盤所有盤符的 “exe”文件,重寫替換文件頭內容與病毒自身文件內容一致,并刪除“gho”類型文件,達到破壞用戶資料目的。
等待聯網狀態訪問下列網址下載木馬到%SystemRoot%\system32\目錄下,名稱為
“xpserve.execnd1.exe”,下載后自動調用運行木馬。
| |
| http ://www.k***k.cn/up.exe |
|
調用系統API函數“Sleep”暫隔200000ms訪問下列加密的網址,實現動態訪問指定的廣告鏈接:
| |
| http ://www.k***k.cn/a3.htm |
|
網頁腳本內容為:
| |
<script>
var m=5;
var n=Math.floor(Math.random()* m 1)
switch(n)
{
case 1:
location='http://www.love78.cn/zhou/index2.htm'
break;
case 2:
location='http://www.love78.cn/zhou/index3.htm'
break;
case 3:
location='http://www.love78.cn/zhou/index4.htm'
break;
case 4:
location='http://www.love78.cn/zhou/index5.htm'
break;
case 5:
location='http://www.5566dm.cn/index.htm'
break;
case 6:
location='http://www.love78.cn/zhou/index5.htm'
break;
}
</script> |
|
不斷遍歷磁盤,拷貝自身名為“net.exe”到磁盤分區根目錄,并創建“autorun.inf”文件,均修改屬性為“隱藏”,“autorun.inf”內容為:
| |
[Autorun]
open=net.exe
shell\open=打開(&O)
shell\open\Command=net.exe
shell\open\Default=1
shell\explore=資源管理器(&X)
shell\explore\Command=net.exe
shellexecute=net.exe
shell\Auto\command=net.exe |
|
