捕獲時(shí)間
2008-12-24
病毒摘要
該樣本是使用“ VC ”編寫的蠕蟲(chóng)程序,由微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲,采用“NSPack”加殼方式試圖躲避特征碼掃描,加殼后長(zhǎng)度為 “23,240字節(jié)”,圖標(biāo)為“
”,使用“exe”擴(kuò)展名,通過(guò)“網(wǎng)頁(yè)木馬”、“文件捆綁”、“移動(dòng)存儲(chǔ)介質(zhì)”等途徑植入用戶計(jì)算機(jī),運(yùn)行后下載其他木馬到本地運(yùn)行。
感染對(duì)象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網(wǎng)頁(yè)木馬、文件捆綁、移動(dòng)存儲(chǔ)介質(zhì)
防范措施
已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶,無(wú)須任何設(shè)置,微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無(wú)論您是否已經(jīng)升級(jí)到最新版本,微點(diǎn)主動(dòng)防御都能夠有效清除該病毒。如果您沒(méi)有將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版,微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“病毒”,請(qǐng)直接選擇刪除處理(如圖1);
圖1 微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲未知病毒(未升級(jí))
如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版本,微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)"Worm.Win32.AutoRun.jkv”,請(qǐng)直接選擇刪除(如圖2)。
圖2 微點(diǎn)主動(dòng)防御軟件升級(jí)后截獲已知病毒
對(duì)于未使用微點(diǎn)主動(dòng)防御軟件的用戶,微點(diǎn)反病毒專家建議:
1、不要在不明站點(diǎn)下載非官方版本的軟件進(jìn)行安裝,避免病毒通過(guò)捆綁的方式進(jìn)入您的系統(tǒng)。
2、建議關(guān)閉U盤自動(dòng)播放,具體操作步驟:開(kāi)始->運(yùn)行->gpedit.msc->計(jì)算機(jī)配置->管理模板->系統(tǒng)->在右側(cè)找到"關(guān)閉自動(dòng)播放"->雙擊->選擇"已啟用"。
3、盡快將您的殺毒軟件特征庫(kù)升級(jí)到最新版本進(jìn)行查殺,并開(kāi)啟防火墻攔截網(wǎng)絡(luò)異常訪問(wèn),如依然有異常情況請(qǐng)注意及時(shí)與專業(yè)的安全軟件廠商聯(lián)系獲取技術(shù)支持。
4、開(kāi)啟windows自動(dòng)更新,及時(shí)打好漏洞補(bǔ)丁。
病毒分析
該樣本程序被執(zhí)行后,創(chuàng)建名為“YANWEIXUE”的互斥體,防止自身的再次調(diào)用, 修改自身文件屬性為“隱藏”與“系統(tǒng)”;刪除目錄%SystemRoot%\system32\下“mfc71.dll”文件,%ProgramFiles%\Kingsoft\Kingsoft Internet Security 2008\下“kasbrowsershield.dll”文件;修改系統(tǒng)時(shí)間年份為2004;調(diào)用系統(tǒng)“cacls.exe”命令提升下列文件與文件夾權(quán)限,賦予“everyone”用戶完全控制權(quán)限:
| |
%SystemRoot%\system32\packet.dll
%SystemRoot%\system32\pthreadVC.dll
%SystemRoot%\system32\wpcap.dll
%SystemRoot%\system32\npptools.dll
%SystemRoot%\system32\wanpacket.dll
%SystemRoot%\system32\drivers\npf.sys
%SystemRoot%\system32\drivers\acpidisk.sys
%ALLUSERSPROFILE%\「開(kāi)始」菜單\程序\啟動(dòng) |
|
加載操作系統(tǒng)SFC功能動(dòng)態(tài)連接庫(kù)文件“sfc_os.dll”,查找其五號(hào)函數(shù)并調(diào)用,去除對(duì)“beep.sys”系統(tǒng)文件的保護(hù),修改系統(tǒng)“beep.sys”文件,成功后啟動(dòng)“Beep”服務(wù)實(shí)現(xiàn)對(duì)“Beep”服務(wù)的替換,驅(qū)動(dòng)加載后恢復(fù)系統(tǒng)SSDT表,解除計(jì)算機(jī)部分的主動(dòng)防御,達(dá)到自身保護(hù)的目的,成功后關(guān)閉此服務(wù),恢復(fù)“beep.sys”文件,遍歷查找下列安全軟件進(jìn)程,找到后嘗試關(guān)閉該安全進(jìn)程:
| |
360Safe.exe
360tray.exe
360rpt.EXE
Runiep.exe
RAv.exe
RSTray.exe
CCenter.EXE
RAVMON.EXE
RAVMOND.EXE
GuardField.exe
Ravxp.exe
GFUpd.exe
kmailmon.exe
kavstart.exe
KACPFW.EXE
kwatch.exe
UpdaterUI.exe
rfwsrv.exe
rfwProxy.exe
rfwstub.exe
RavStub.exe
rfwmain.exe
TBMon.exe
nod32kui.exe
nod32krn.exe
KASARP.exe
FrameworkService.exe
scan32.exe
VPC32.exe
VPTRAY.exe
AntiArp.exe
KRegEx.exe
KvXP.kxp
kvsrvxp.kxp
kvsrvxp.exe
KVWSC.EXE
Iparmor.exe
Avp.EXE
VsTskMgr.exe
EsuSafeguard.exe
wuauclt.exe |
|
遍歷查找下列服務(wù),一旦找到嘗試停止服務(wù):
| |
sharedaccess
McShield
KWhatchsvc
KPfwSvc
Symantec AntiVirus
Symantec AntiVirus Drivers Services
Symantec AntiVirus Dedinition Watcher
McAfee Framework服務(wù)
Norton AntiVirus Server |
|
遍歷查找包含下列文字的窗口,一旦找到嘗試發(fā)送“WM_DESTROY” 與
“WM_CLOSE”消息關(guān)閉該窗口:
| |
安全衛(wèi)士
專殺
NOD32
Process
進(jìn)程
瑞星
木馬
綠鷹
防御
微點(diǎn)
主動(dòng)防御
防火墻
病毒
Mcafee
檢測(cè)
Firewall
virus
anti
金山
江民
worm
SREng
清理
超級(jí)巡警
卡巴斯基
殺毒 |
|
移動(dòng)%SystemRoot%\system32\下“spoolsv.exe”文件,到%SystemDrive%下,名稱改為“tmm.tep”,移動(dòng)成功后,拷貝自身為“spoolsv.exe”文件到%SystemRoot%\system32\與%SystemRoot%\system32\dllcache\目錄下,并開(kāi)啟“spoolsv.exe”進(jìn)程;隱藏方式調(diào)用運(yùn)行“IEXPLORE.EXE”進(jìn)程,并向其進(jìn)程內(nèi)存空間中注入惡意可執(zhí)行代碼,達(dá)到運(yùn)行中訪問(wèn)下列指定網(wǎng)絡(luò)的效果,自動(dòng)下載相應(yīng)
木馬到%SystemDrive%\Documents and Settings\目錄下,名稱為“1ts.pif”,“2ts.pif”,“3.pif”,“4.pif”,“5.pif” ,“6ts.pif”,“7.pif”,“8.pif”,“9ts.pif”,“10ts.pif”;目錄%SystemDrive%\ Documents and Settings\下“ccdd.pif”,下載成功后自動(dòng)運(yùn)行:
| |
http://a. ***7.com/dd/1.exe
http://a. ***7.com/dd/2.exe
http://a. ***7.com/dd/3.exe
http://a. ***7.com/dd/4.exe
http://a. ***7.com/dd/5.exe
http://a. ***7.com/dd/6.exe
http://a. ***7.com/dd/7.exe
http://a. ***7.com/dd/8.exe
http://a. ***7.com/dd/9.exe
http://a. ***7.com/dd/10.exe
http://a.***7.com/dd/x.gif |
|
添加注冊(cè)表啟動(dòng)項(xiàng),達(dá)到開(kāi)機(jī)自啟動(dòng)目的:
| |
項(xiàng):
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run
鍵值:internetnet
數(shù)據(jù):%SystemRoot%\system32\spoolsv.exe |
|
刪除系統(tǒng)啟動(dòng)項(xiàng)HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下指定安全軟件的啟動(dòng)項(xiàng)鍵值,實(shí)現(xiàn)指定安全軟件不能開(kāi)機(jī)啟動(dòng):
| |
鍵值:
KavStart
360Safebox
360Safetray |
|
修改注冊(cè)表破壞顯示所有文件和文件夾,達(dá)到隱藏自身目的:
| |
項(xiàng):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
鍵值:CheckedValue
數(shù)據(jù):2; |
|
刪除注冊(cè)表相關(guān)鍵值破壞安全模式,阻止用戶進(jìn)入安全模式:
| |
項(xiàng):
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
項(xiàng):
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} |
|
在注冊(cè)表HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\下添加下列項(xiàng),達(dá)到劫持大部分安全軟件的目的:
| |
360rpt.EXE
360safe.EXE
360tray.EXE
360safebox.EXE
safeboxTray.EXE
AVP.EXE
AVP.COM
AvMonitor.EXE
CCenter.EXE
IceSword.EXE
Iparmor.EXE
KVMonxp.EXE
KVSrvXP.EXE
KVWSC.EXE
Navapsvc.EXE
Nod32kui.EXE
nod32krn.EXE
KRegEx.EXE
Frameworkservice.EXE
Mmsk.EXE
Ask.EXE
WOPTILITIES.EXE
Regedit.EXE
AutoRunKiller.EXE
VPC32.EXE
VPTRAY.EXE
ANTIARP.EXE
KASARP.EXE
RAV.EXE
kwatch.EXE
kmailmon.EXE
kavstart.EXE
KAVPFW.EXE
Runiep.EXE
GuardField.EXE
GFUpd.EXE
rfwmain.EXE
RavStub.EXE
rfwstub.EXE
rfwProxy.EXE
rfwsrv.EXE
msconfig.EXE
SREngLdr.EXE
ArSwp.EXE
RSTray.EXE
QQDoctor.EXE
TrojanDetector.EXE
RSTray.EXE
Trojanwall.EXE
TrojDie.KXP
PFW.EXE
HijackThis.EXE
AutoRun.EXE
鍵值均為:debugger
數(shù)據(jù)均指向:%SystemRoot%\system32\dllcache\spoolsv.exe |
|
不斷遍歷磁盤,拷貝自身名為“ZGQZ.PIF”到磁盤分區(qū)根目錄,并創(chuàng)建“autorun.inf”文件,均修改屬性為“隱藏”與“系統(tǒng)”,“autorun.inf”內(nèi)容為:
| |
[AutoRun]
shell\open=打開(kāi)(&O)
shell\open\Command=ZGQZ.PIF
shell\open\Default=1
shell\explore=資源管理器(&X)
shell\explore\command=ZGQZ.PIF |
|
