捕獲時間
2009-4-15
病毒癥狀
該樣本是使用“Delphi編寫的網(wǎng)絡(luò)蠕蟲����,由微點主動防御軟件自動捕獲��,采用“Upack”加殼方式��,企圖躲避特征碼掃描��,加殼后長度為“51,688 字節(jié)”�����,圖標(biāo)為“
”����,病毒擴(kuò)展名為“exe”����,主要通過“文件捆綁”、“下載器下載”����、“移動存儲介質(zhì)”等方式傳播,病毒主要目的為下載大量木馬并運行�。
用戶中毒后�,會出現(xiàn)安全軟件無故關(guān)閉����,網(wǎng)絡(luò)運行緩慢�,安全模式無法進(jìn)入,windows系統(tǒng)無故報錯等現(xiàn)象��。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網(wǎng)頁木馬����、文件捆綁、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設(shè)置����,微點主動防御將自動保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞�。無論您是否已經(jīng)升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版���,微點主動防御軟件在發(fā)現(xiàn)該病毒后將報警提示您發(fā)現(xiàn)“未知間諜軟件”,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經(jīng)將微點主動防御軟件升級到最新版本����,微點將報警提示您發(fā)現(xiàn)"Worm.Win32.AutoRun.lqx”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶�����,微點反病毒專家建議:
1�����、不要在不明站點下載非官方版本的軟件進(jìn)行安裝,避免病毒通過捆綁的方式進(jìn)入您的系統(tǒng)。
2、盡快將您的殺毒軟件特征庫升級到最新版本進(jìn)行查殺,并開啟防火墻攔截網(wǎng)絡(luò)異常訪問�,如依然有異常情況請注意及時與專業(yè)的安全軟件廠商聯(lián)系獲取技術(shù)支持�����。
3、開啟windows自動更新,及時打好漏洞補(bǔ)丁��。
未安裝微點主動防御軟件的手動解決辦法:
1���、手動刪除以下文件:
%ProgramFiles%\Common Files\SafeSys.exe
%temp%\SafeSys(1).exe
%Temp%\SafeSys.txt
%ProgramFiles%\jnbim.bak
X:\SafeSys.exe
X:\AutoRun.inf (X:為任意盤符)
2���、手動刪除以下注冊表值:
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
鍵:HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SafeSys
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SafeSysDrv
鍵:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
鍵:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableWindowsUpdateAccess 3�����、手動修改以下注冊表:
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon
值:MonAccess
數(shù)據(jù):1
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon
值:SiteAccess
數(shù)據(jù):1
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon
值:ExecAccess
數(shù)據(jù):1
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon
值:ARPAccess
數(shù)據(jù):1
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon
值:weeken
數(shù)據(jù):1
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon
值:IEProtAccess
數(shù)據(jù):1
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon
值:LeakShowed
數(shù)據(jù):1
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon
值:UDiskAccess
數(shù)據(jù):1
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
值:SHOWALL
數(shù)據(jù):1
4.用相同版本替換%SystemRoot%\system32\spoolsv.exe和%SystemRoot%\system32\dllcache\spoolsv.exe
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū)���,通常為“C:\”
%SystemRoot% WINDODWS所在目錄�����,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾�,通常為“C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認(rèn)安裝目錄�,通常為:“C:\ProgramFiles”
病毒分析
(1)判斷參數(shù)是不是-Clear ��,判斷當(dāng)前路徑是不是%ProgramFiles%\Common Files\SafeSys.exe,如果不是�,執(zhí)行%ProgramFiles%\Common Files\SafeSys.exe –Clear�����,然后創(chuàng)建互斥"vip1.0,kuaigeiwoxiaoshi!"結(jié)束進(jìn)程
(2)檢測自身路徑是不是在根目錄,然后創(chuàng)建%SYSTEMDRIVER%\AutoRun.inf���,如果創(chuàng)建成功,打開C盤��,發(fā)送消息����,關(guān)閉窗口,如果窗口關(guān)閉失敗�����,查找殺毒軟件等彈出窗口�,并關(guān)閉
(3)檢查自身是不是%ProgramFiles%\Internet Explorer\IEXPLORE.EXE,如果是����,打開指定網(wǎng)址����,然后判斷該網(wǎng)址對應(yīng)文件����,是否是PE文件,如果是PE文件�,保存為%temp%\SafeSys(1).exe��,然后運行文件,不是PE文件��,保存為%Temp%\SafeSys.txt���,讀取下載列表進(jìn)行下載
(4)判斷自身是不是%SystemRoot%\system32\svchost.exe����,刪除安全模式,結(jié)束殺軟進(jìn)程�����,設(shè)置360相關(guān)注冊表���,修改啟動項目����,刪除修改注冊表時,用到的文件���,打開 "vip1.0,kuaigeiwoxiaoshi!"如果打開成功,創(chuàng)建%Temp%\~hkfbl.bat刪除%ProgramFiles%\Common Files\SafeSys.exe等一系列卸載操作
(5)判斷自身路徑是不是 %ProgramFiles%\Common Files\SafeSys.exe�,結(jié)束進(jìn)程�,創(chuàng)建映像劫持�����,遍歷盤符寫AutoRun.inf
(6)判斷自身是不是%SystemRoot%\system32\spoolsv.exe,啟動保護(hù)服務(wù)
(7)判斷參數(shù)是不是“-SafeSys”���,不是創(chuàng)建“SAMPLE.exe –SafeSys”進(jìn)程���,并創(chuàng)建互斥"-SafeSys"
(8)創(chuàng)建%ProgramFiles%\jnbim.bak���,然后加載����,釋放驅(qū)動文件%SystemRoot%\Fonts\aruql.fon����,創(chuàng)建服務(wù)aruql��,啟動驅(qū)動�,然后刪除��,驅(qū)動主要功能是起保護(hù)病毒文件功能�����。
(9)查找窗口,關(guān)閉常見安全軟件,調(diào)試工具等����,修改注冊表����,關(guān)閉進(jìn)程����,遍歷磁盤寫AutoRun.inf
(10)停止Spooler服務(wù),去掉%SystemRoot%\system32\spoolsv.exe的文件保護(hù)���,釋放驅(qū)動Temp\~cifsw.tmp,創(chuàng)建"SafeSysDrv"服務(wù)啟動Temp\~cifsw.tmp"�����,修改%SystemRoot%\system32\spoolsv.exe
(11)查找內(nèi)網(wǎng)共享等��,進(jìn)行內(nèi)網(wǎng)傳播���,發(fā)送統(tǒng)計信息到指定網(wǎng)站
(12)復(fù)制自身到%ProgramFiles%\Common Files\SafeSys.exe,并以SafeSys參數(shù)運行����,病毒檢查是否以"-Service"參數(shù)運行�����,然后以"-Service"參數(shù)運行�,
(13)復(fù)制%SystemRoot%\system32\spoolsv.exe到%SystemRoot%\system32\dllcache\spoolsv.exe�,檢查Spooler服務(wù)關(guān)聯(lián)文件,啟動Spooler服務(wù)��,啟動兩個SVCHOST進(jìn)程��,并把病毒代碼寫入����,檢查注冊表啟動項目和病毒是否存在����,然后退出
(14)生成刪除自身%Temp%\~brlhb.bat刪除自身,
病毒創(chuàng)建文件:
%ProgramFiles%\Common Files\SafeSys.exe
%temp%\SafeSys(1).exe
%Temp%\SafeSys.txt
%ProgramFiles%\jnbim.bak
%SystemRoot%\Fonts\aruql.fon
%Temp%\~hkfbl.bat
%Temp%\~brlhb.bat
X:\SafeSys.exe
X:\AutoRun.inf (X:為任意盤符)
病毒修改文件:
%SystemRoot%\system32\spoolsv.exe
%SystemRoot%\system32\dllcache\spoolsv.exe
病毒刪除文件:
%Temp%\~hkfbl.bat
%Temp%\~brlhb.bat
%SystemRoot%\Fonts\aruql.fon
X:\SafeSys.exe
X:\AutoRun.inf (X:為任意盤符)
病毒創(chuàng)建注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SafeSys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SafeSysDrv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aruql
HKEY_CURRENT_USER\Software\alppvw
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableWindowsUpdateAccess
病毒修改注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\MonAccess
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\SiteAccess
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\ExecAccess
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\ARPAccess
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\weeken
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\IEProtAccess
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\LeakShowed HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\UDiskAccessHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler\ImagePath HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
病毒刪除注冊表:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_CURRENT_USER\Software\alppvw
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aruql
病毒創(chuàng)建進(jìn)程:
svchost.exe(兩個)
病毒訪問網(wǎng)絡(luò):
http://count.key5188.com/count/get.asp
http://c.8yeye.com/count.txt
