網(wǎng)絡蠕蟲
Worm.Win32.AutoRun.pld
捕獲時間
2009-8-15
危害等級
高
病毒癥狀
該樣本是使用“VC”編寫的蠕蟲病毒,由微點主動防御軟件自動捕獲,采用“UPX”加殼方式,企圖躲避特征碼掃描,加殼后長度為“36,864 字節(jié)”,圖標為“
”,病毒擴展名為“exe”,主要通過“文件捆綁”、“下載器下載”、“移動存儲介質(zhì)”等方式傳播,病毒主要目的為下載大量病毒并運行。
用戶中毒后,會出現(xiàn)大多數(shù)殺毒軟件退出或無法運行,系統(tǒng)運行緩慢,網(wǎng)絡速度變緩,出現(xiàn)大量未知進程,Windows無故報錯等現(xiàn)象。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網(wǎng)頁木馬、文件捆綁、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發(fā)現(xiàn)該病毒后將報警提示您發(fā)現(xiàn)“未知木馬”,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經(jīng)將微點主動防御軟件升級到最新版本,微點將報警提示您發(fā)現(xiàn)"Worm.Win32.AutoRun.pld”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1、手動修復以下文件:
拷貝相同版本文件到:%SystemRoot%\system32\drivers\AsyncMac.sys
拷貝相同版本文件到:%SystemRoot%\system32\drivers\aec.sys
拷貝新文件到: %SystemRoot%\System32\dirvers\etc\hosts
2、手動刪除以下文件:
%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}
%SystemRoot%\extext0t.exe
%SystemRoot%\system32\scvhost.exe
X:\AUTORUN.INF (X為任意盤符)
3、手動刪除以下注冊表值:
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[所有劫持]
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值: 360Soft
數(shù)據(jù):%SystemRoot%\system32\scvhost.exe
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū),通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
(1)隱式執(zhí)行notepad.exe,查找Notepad的窗口,若沒有找到,直接退出,否則發(fā)送消息到當前進程的主線程,主線程收到消息后繼續(xù)執(zhí)行。
(2)創(chuàng)建互斥體,防止多次運行。
(3)通過強行結束進程和服務控制的方式,終止和刪除Nod32殺軟相關進程和服務。
(4)釋放文件%SystemRoot%\system32\ee93806218t.dll。(文件名數(shù)字部分隨機生成)
(5)創(chuàng)建進程,通過調(diào)用rundll32.exe程序加載ee93806218t.dll。
(6)提升自身進程權限,獲得當前進程列表,檢測CCENTER.EXE、KAVStart.exe、avp.exe三個進程,如果發(fā)現(xiàn)進程,刪除相關服務和終止相關進程,去掉AsyncMac.sys和aec.sys驅(qū)動文件的保護屬性,并釋放驅(qū)動文件aec.sys和AsyncMac.sys,創(chuàng)建服務并啟動。之后,通過aec.sys恢復SSDT,通過AsyncMac.sys終止大多數(shù)殺軟進程,修改注冊表實現(xiàn)鏡像劫持,并刪除所有注冊表啟動項及aec.sys和AsyncMac.sys兩個驅(qū)動文件。之后刪除ee93806218t.dll。
(7)創(chuàng)建線程,創(chuàng)建目錄%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E},將自身重命名為rav32.exe復制到%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe,并設置為隱藏。寫AUTORUN.INF,使用戶打開系統(tǒng)磁盤或打開資源管理器就執(zhí)行病毒。
(8)停止wscsvc和ShareAccess服務。釋放%SystemRoot%\extext0t.exe并執(zhí)行,將%SystemRoot%\system32\目錄和%TEMP%目錄的訪問權限設置為everyone完全控制。
(9)創(chuàng)建線程,清空%SystemRoot%\System32\dirvers\etc\hosts文件中的信息,完成后設置hosts文件屬性為只讀。
(10)創(chuàng)建線程,統(tǒng)計本地感染機器的網(wǎng)卡地址、系統(tǒng)版本和時間,將這些信息發(fā)送到黑客指定的地址。
(11)創(chuàng)建線程,打開指定網(wǎng)址,下載大量病毒到本地運行。
(12)釋放%SystemRoot%\system32\drivers\pcidump.sys,創(chuàng)建服務并啟動,將extext0t.exe的地址寫入%SystemRoot%\Explorer.exe地址空間,感染Explorer.exe文件。之后,刪除%SystemRoot%\system32\drivers\pcidump.sys和服務。
(13)將病毒自身重命名復制到%SystemRoot%\system32\scvhost.exe,通過修改注冊表,實現(xiàn)病毒自啟動。
(14)在病毒主程序當前目錄創(chuàng)建批處理文件_temp.bat,并隱藏執(zhí)行刪除病毒自身,完成后刪除_temp.bat。
病毒創(chuàng)建文件:
%SystemRoot%\system32\ee93806218t.dll
%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe
%SystemRoot%\extext0t.exe
%SystemRoot%\system32\drivers\AsyncMac.sys
%SystemRoot%\system32\drivers\aec.sys
%SystemRoot%\system32\drivers\pcidump.sys
%SystemRoot%\system32\scvhost.exe
X:\AUTORUN.INF (X為任意盤符)
X:\_temp.bat (X為病毒主程序所在盤符)
病毒修改文件:
%SystemRoot%\System32\dirvers\etc\hosts
病毒刪除文件:
%SystemRoot%\system32\ee93806218t.dll
%SystemRoot%\system32\drivers\pcidump.sys
%SystemRoot%\system32\drivers\AsyncMac.sys
%SystemRoot%\system32\drivers\aec.sys
X:\_temp.bat (X為病毒主程序所在盤符)
病毒創(chuàng)建注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[映像劫持]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asyncmac
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aec
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\360Soft
病毒刪除注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[安全軟件]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asyncmac
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aec
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
病毒訪問網(wǎng)絡:
http://tong***20.com/v21/count.asp
http://boo***oo111.com/aa21bg.txt
