網(wǎng)絡(luò)蠕蟲
Net-Worm.Win32.Small.n
捕獲時間
2009-8-24
危害等級
高
病毒癥狀
該樣本是使用“VC”編寫的蠕蟲病毒,由微點主動防御軟件自動捕獲,長度為“20,480 字節(jié)”,圖標為“
”,病毒擴展名為“exe”,主要通過“文件捆綁”、“下載器下載”、“網(wǎng)頁掛馬”、“移動存儲介質(zhì)”等方式傳播,病毒主要目的為下載安裝木馬程序。
用戶中毒后,會出現(xiàn)無法正常打開殺毒軟件窗口、系統(tǒng)運行緩慢、網(wǎng)絡(luò)速度降低、攝像頭無故被啟用、系統(tǒng)無故關(guān)機、重要信息外泄、瀏覽網(wǎng)頁時總是被指定到同一個網(wǎng)址、出現(xiàn)大量未知進程等現(xiàn)象。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網(wǎng)頁木馬、文件捆綁、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設(shè)置,微點主動防御將自動保護您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發(fā)現(xiàn)該病毒后將報警提示您發(fā)現(xiàn)“可疑程序”,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經(jīng)將微點主動防御軟件升級到最新版本,微點將報警提示您發(fā)現(xiàn)"Net-Worm.Win32.Small.n”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1、手動恢復以下文件:
拷貝相同版本文件到: %SystemRoot%\system32\ctfmon.exe
2、手動刪除以下文件:
%SystemRoot%\system32\wins\svchost.exe
X:\delrunme.bat (X為病毒主程序目錄)
%SystemRoot%\system32\dllcache\ctfmon.exe
%SystemRoot%\system32\Arp.com
%SystemRoot%\Tasks\綠化.bat
%TEMP%\HhGaxAI9th.pif
3、手動恢復以下注冊表值:
恢復安全模式:
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AFD
值:[默認]
數(shù)據(jù): Service
鍵: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt
值:[默認]
數(shù)據(jù):Service
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū),通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
(1)創(chuàng)建互斥體,防止多次運行。
(2)創(chuàng)建線程,獲得當前進程快照,查找并終止進程ctfmon.exe。
(3)將%SystemRoot%\system32\ctfmon.exe復制到%SystemRoot%\system32\wins\svchost.exe,執(zhí)
行%SystemRoot%\system32\wins\svchost.exe,完成后,刪除文件%SystemRoot%\system32\ctfmon.exe。
(4)在病毒主程序同目錄下創(chuàng)建名為delrunme.bat的批處理并執(zhí)行,將病毒自身重命名復制到%SystemRoot%\system32\ctfmon.exe
和%SystemRoot%\system32\dllcache\ctfmon.exe, 完成后,刪除自身并執(zhí)行%SystemRoot%\system32\ctfmon.exe。
(5)創(chuàng)建線程,檢查當前窗口文本,一旦找到與反病毒相關(guān)的關(guān)鍵字,通過消息循環(huán),不斷發(fā)送退出消息將窗口關(guān)閉,終止目標進程,
使用戶無法正常使用殺毒軟件。
(6)創(chuàng)建線程,遍歷所有磁盤文件,查找后綴名為:html、HTML、htm、HTM、asp、aspx、php、jsp的文件,如果找到,插入一段惡意
代碼到目標文件,使用戶打開目標文件后自動訪問黑客指定網(wǎng)址,并且刪除所有后綴名為GHO的文件,使用戶丟失系統(tǒng)備份數(shù)據(jù)。
(7)創(chuàng)建線程,訪問黑客指定網(wǎng)址,下載病毒重命名后復制到%SystemRoot%\system32\Arp.com執(zhí)行。
(8) 創(chuàng)建線程,獲得被感染機器主機名和IP段,通過執(zhí)行%SystemRoot%\system32\Arp.com往IP段內(nèi)其它主機80端口發(fā)送惡意代碼數(shù)據(jù),
使目標主機用戶訪問網(wǎng)頁時被嵌入惡意代碼,強迫用戶訪問黑客指定網(wǎng)址。
(9)創(chuàng)建線程,利用自定義的弱口令列表猜解被感染主機IP段內(nèi)其它主機的管理員密碼,一旦猜解成功,病毒將自身重命名為
hackshen.exe復制到目標主機的各個共享文件夾下并執(zhí)行,達到網(wǎng)絡(luò)傳播目的。
(10)創(chuàng)建線程,將病毒自身復制到%SystemRoot%\Tasks\綠化.bat,添加到任務計劃,每隔一段時間便執(zhí)行病毒。
(11)創(chuàng)建線程,搜索WinRAR的安裝目錄,如果找到,遍歷磁盤所有格式為RAR、Zip、tgz、cab、tar的壓縮文件,通過調(diào)用Rar.exe程序?qū)⒛繕藟嚎s包解壓,將病毒程序“綠化.bat”復制到解壓出的文件夾,之后再壓縮回去,完成將病毒添加到壓縮包的功能。
(12)創(chuàng)建線程,從病毒作者指定網(wǎng)址下載一個木馬服務端程序到本地的%TEMP%\HhGaxAI9th.pif(文件名隨機生成),并執(zhí)行,使被感主
機倫為傀儡機器,任由黑客控制。
(13)刪除注冊表相關(guān)鍵值,使用戶無法進入安全模式。
病毒創(chuàng)建文件:
%SystemRoot%\system32\wins\svchost.exe
X:\delrunme.bat (X為病毒主程序目錄)
%SystemRoot%\system32\ctfmon.exe
%SystemRoot%\system32\dllcache\ctfmon.exe
%SystemRoot%\system32\Arp.com
%SystemRoot%\Tasks\綠化.bat
%TEMP%\HhGaxAI9th.pif
病毒刪除文件:
%SystemRoot%\system32\ctfmon.exe
病毒刪除注冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AFD
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt
病毒訪問網(wǎng)絡(luò):
http://www.hack***j.cn/muma.htm
http://www.hack**j.cn/wincap.exe
http://www.hack**j.cn/arp.exe
http://www.hack***j.cn/server.exe
