捕獲時(shí)間 2009-4-24 病毒癥狀 該樣本是使用“C ”編寫的下載者,由微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲,采用“UPX”加殼方式,企圖躲避特征碼掃描,加殼后長度為“20,992 字節(jié)”,圖標(biāo)為“ ”,病毒擴(kuò)展名為“exe”,主要通過“文件捆綁”、“局域網(wǎng)共享”、“網(wǎng)頁掛馬”等方式傳播,病毒主要目的為下載病毒并運(yùn)行,自動(dòng)打開指定網(wǎng)站。 用戶中毒后,會(huì)出現(xiàn)用戶中毒后,會(huì)出現(xiàn)計(jì)算機(jī)及網(wǎng)絡(luò)運(yùn)行緩慢,IE首頁被修改,各類軟件、Windows無故報(bào)錯(cuò),發(fā)現(xiàn)大量未知進(jìn)程等現(xiàn)象。 感染對象 Windows 2000/Windows XP/Windows 2003 傳播途徑 網(wǎng)頁木馬、文件捆綁、下載器下載 防范措施 已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶,無須任何設(shè)置,微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級(jí)到最新版本,微點(diǎn)主動(dòng)防御都能夠有效清除該病毒。如果您沒有將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版,微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“未知木馬”,請直接選擇刪除處理(如圖1); 圖1 微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲未知病毒(未升級(jí)) 如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版本,微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)"Worm.Win32.Exploiter.a”,請直接選擇刪除(如圖2)。 圖2 微點(diǎn)主動(dòng)防御軟件升級(jí)后截獲已知病毒 對于未使用微點(diǎn)主動(dòng)防御軟件的用戶,微點(diǎn)反病毒專家建議: 1、不要在不明站點(diǎn)下載非官方版本的軟件進(jìn)行安裝,避免病毒通過捆綁的方式進(jìn)入您的系統(tǒng)。 2、盡快將您的殺毒軟件特征庫升級(jí)到最新版本進(jìn)行查殺,并開啟防火墻攔截網(wǎng)絡(luò)異常訪問,如依然有異常情況請注意及時(shí)與專業(yè)的安全軟件廠商聯(lián)系獲取技術(shù)支持。 3、開啟windows自動(dòng)更新,及時(shí)打好漏洞補(bǔ)丁。 未安裝微點(diǎn)主動(dòng)防御軟件的手動(dòng)解決辦法: 1、手動(dòng)刪除以下文件: %SystemDriver%\ss.tmp %SystemRoot%\Fonts\wuauclt.exe %SystemRoot%\Tasks\alg.exe %SystemRoot%\Fonts\TlMPLatform.exe %SystemRoot%\Tasks\SA.PIF %Temp%\密碼love張柏芝艷照.rar 2、手動(dòng)刪除以下注冊表值: 鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\ 值:360safe 數(shù)據(jù):%SystemRoot%\Fonts\wuauclt.exe 鍵:HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\ 3、手動(dòng)修改以下注冊表: 鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\ 值:Command 數(shù)據(jù):"%ProgramFiles%\Internet Explorer\iexplore.exe" 鍵:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main 值:Start Page 數(shù)據(jù):"about:blank/" 變量聲明: %SystemDriver% 系統(tǒng)所在分區(qū),通常為“C:\” %SystemRoot% WINDODWS所在目錄,通常為“C:\Windows” %Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings” %Temp% 臨時(shí)文件夾,通常為“C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp” %ProgramFiles% 系統(tǒng)程序默認(rèn)安裝目錄,通常為:“C:\ProgramFiles” 病毒分析 (1)查找%SystemRoot%\Fonts\wuauclt.exe 如果存在則將其移動(dòng)到%SystemDriver%\ss.tmp 并將自身復(fù)制為%SystemRoot%\Fonts\wuauclt.exe 然后刪除自身 (2)設(shè)置注冊表,修改IE默認(rèn)主頁,并打開指定網(wǎng)站 (3)下載病毒到%SystemRoot%\Tasks\SA.PIF,如果成功,創(chuàng)建%SystemRoot%\Fonts\TlMPLatform.exe并且運(yùn)行,查找QQ聊天窗口,如果找到,復(fù)制%SystemRoot%\Tasks\SA.PIF為“密碼love張柏芝艷照.rar”并發(fā)送給對方 (4)創(chuàng)建%SystemRoot%\Tasks\alg.exe,利用ms08067漏洞使局域網(wǎng)用戶自動(dòng)下載指定文件 (5)修改注冊表,實(shí)現(xiàn)開機(jī)啟動(dòng) (6)查找QQ聊天窗口,自動(dòng)發(fā)送信息給對方 病毒創(chuàng)建文件: %SystemDriver%\ss.tmp %SystemRoot%\Fonts\wuauclt.exe %SystemRoot%\Tasks\alg.exe %SystemRoot%\Fonts\TlMPLatform.exe %SystemRoot%\Tasks\SA.PIF %Temp%\密碼love張柏芝艷照.rar 病毒創(chuàng)建注冊表: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\360safe 病毒修改注冊表: HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main 病毒創(chuàng)建進(jìn)程: IEXPLORE.EXE 病毒訪問網(wǎng)絡(luò): http://i.w**8.com/bc.css http://i.w**8.com/dd/z.gif http://msm.mon**infom.com/ http://joke.mo**yinfom.com/ http://www1.0**29.com/ http://www.a**00.com/images/mp.jpg
