蠕蟲病毒
Worm.Win32.AutoRun.pyz
捕獲時間
2009-8-29
危害等級
高
病毒癥狀
該樣本是使用“VC”編寫的蠕蟲病毒,由微點主動防御軟件自動捕獲���,采用“UPX”加殼方式,企圖躲避特征碼掃描�,加殼后長度為“36,864 字節 ”��,圖標為“
”,病毒擴展名為“exe”�����,主要通過“文件捆綁”�����、“下載器下載”��、“移動存儲介質”���、“網頁掛馬”等方式傳播�����,病毒主要目的為下載大量病毒并運行�。
用戶中毒后�,會出現大多數殺毒軟件退出和無法正常運行,系統運行緩慢,網絡速度變緩,出現大量未知進程等現象。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬、文件捆綁、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置����,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞����。無論您是否已經升級到最新版本��,微點主動防御都能夠有效清除該病毒�。如果您沒有將微點主動防御軟件升級到最新版����,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本��,微點將報警提示您發現"Worm.Win32.AutoRun.pyz”���,請直接選擇刪除(如圖2)����。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1����、手動恢復以下文件:
拷貝相同版本文件到: %SystemRoot%\system32\drivers\gm.dls
拷貝相同版本文件到: %SystemRoot%\explorer.exe
拷貝相同版本文件到: %SystemRoot%\system32\drivers\etc\hosts
2��、手動刪除以下文件:
%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}
%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\kav32.exe
%SystemRoot%\extext0t.exe
%TEMP%\ope1.tmp
%SystemRoot%\temp\explorer.exe
%SystemRoot%\system32\scvhost.exe
%SystemDriver%\AUTORUN.INF
X:\_temp.bat (X為病毒主程序所在盤符)
3、手動刪除以下注冊表值:
鍵: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值: 360Soft
數據: %SystemRoot%\system32\scvhost.exe
鍵: HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\[所有劫持]
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄�����,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄�����,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾�����,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
(1)查找名為"SoundRec"的窗口,如果沒找到,執行sndrec32.exe,繼續查找SoundRec窗口,若找到��,發送一個消息到當前進程的主線 程��,若沒找到�����,退出進程。主線程接受消息后,創建互斥體����,防止多次運行����。
(2)檢查自身是否為Explorer.exe�����,如果是,則復制%SystemRoot%\system32\drivers\gm.dls到%SystemRoot%\temp\explorer.exe,并 執行%SystemRoot%\temp\explorer.exe�。
(3)獲得服務控制相關函數虛擬地址,刪除ekrn相關服務����,終止進程ekrn.exe��、egui.exe����。
(4)釋放動態鏈接庫%SystemRoot%\system32\ee0t.dll,創建進程���,調用%SystemRoot%\system32\rundll32.exe加載ee0t.dll
(5)提升當前進程權限�����,獲得進程快照����,如果找到進程360tray.exe��,將其進程退出;若找到進程CCenter.exe�、KAVStart.exe���、avp.exe,
去掉%SystemRoot%\system32\drivers\AsyncMac.sys和%SystemRoot%\system32\drivers\aec.sys的文件保護屬性�����,釋放驅動文件%SystemRoot%\system32\drivers\AsyncMac.sys和%SystemRoot%\system32\drivers\aec.sys����,通過加載aec.sys恢復SSDT����,加載AsyncMac.sys刪除殺毒軟件相關服務并退出其進程,并對大多數發病毒軟件作映像劫持,使其無法正常運行�����。通過操作注冊表����,刪除所有系統自啟動項鍵值。之后����,刪除文件AsyncMac.sys和aec.sys及服務����。刪除%SystemRoot%\system32\ee0t.dll���。
(6)創建線程,釋放并寫文件%SystemDriver%\AUTORUN.INF�,設置文件屬性為隱藏,創建目
錄%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}, 將該目錄命名為畸形名稱"\safe..//",使用戶無法刪除 該目錄�,之后將病毒自身重命名復制到%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\kav32.exe,并設置為隱藏����,使用戶打開磁盤或資源管理器時運行病毒程序kav32.exe�。
(7)禁用Windows安全中心和防火墻服務,釋放病毒文件%SystemRoot%\extext0t.exe,并執行��。
(8)創建互斥體�����,將%SystemRoot%\system32和%TEMP%目錄訪問權限提升為Everyone完全控制����。
(9)提升當前進程權限��,將%SystemRoot%\system32\wininet.dll復制到%TEMP%\ope3.tmp(文件名數字部分隨機生成),并加載,獲得網絡相關函數的虛擬地址。
(10)創建線程,循環查找名為"#32770"的窗口�,如果沒找到���,自動將病毒程序添加到注冊表啟動項����。
(11)創建線程,修改%SystemRoot%\system32\drivers\etc\hosts文件,并設置文件屬性為只讀���。
(13)創建線程�,統計感染主機的操作系統版本、類型、Mac地址和時間,將這些信息發送到指定網址。
(13)解密資源,訪問解密后的目標網址,下載大量病毒到本地執行。
(14) 釋放驅動文件%SystemRoot%\system32\drivers\pcidump.sys,創建服務并加載,感染%SystemRoot%\system32\drivers\gm.dls和%SystemRoot%\explorer.exe文件,完成后��,刪除pcidump.sys及服務�。
(15)將病毒自身重命名復制到%SystemRoot%\system32\scvhost.exe,通過添加注冊表自啟動項執行該程序。
(16)檢查自身是否為rav32.exe和explorer.exe,如果不是,在病毒主程序同目錄下創建批處理_temp.bat����,并執行��,刪除自身和_temp.bat。
病毒創建文件:
%SystemRoot%\system32\ee0t.dll
%SystemRoot%\system32\drivers\AsyncMac.sys
%SystemRoot%\system32\drivers\aec.sys
%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}
%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\kav32.exe
%SystemRoot%\extext0t.exe
%TEMP%\ope3.tmp
%SystemDriver%\AUTORUN.INF
%SystemRoot%\system32\drivers\pcidump.sys
%SystemRoot%\temp\explorer.exe
%SystemRoot%\system32\scvhost.exe
X:\_temp.bat (X為病毒主程序所在盤符)
病毒修改文件:
%SystemRoot%\system32\drivers\gm.dls
%SystemRoot%\explorer.exe
%SystemRoot%\system32\drivers\etc\hosts
病毒刪除文件:
%SystemRoot%\system32\drivers\AsyncMac.sys
%SystemRoot%\system32\drivers\aec.sys
%SystemRoot%\system32\drivers\pcidump.sys
%SystemRoot%\system32\ee0t.dll
%SystemRoot%\system32\drivers\etc\hosts
X:\_temp.bat (X為病毒主程序所在盤符)
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[映像劫持]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asyncmac
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aec
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\360Soft
病毒刪除注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[所有程序]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asyncmac
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aec
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
病毒訪問網絡:
http://tong***20.com/v12/count.asp
http://320***n.com/aa22dt.txt
http://1.ww***d.net/ww/aa1.exe
http://1.ww***d.net/ww/aa2.exe
http://1.ww***d.net/ww/aa3.exe
http://1.ww***d.net/ww/aa4.exe
http://1.ww***d.net/ww/aa5.exe
http://1.ww***d.net/ww/aa6.exe
http://1.ww***d.net/ww/aa7.exe
http://1.ww***d.net/ww/aa8.exe
http://1.ww***d.net/ww/aa9.exe
http://1.ww***d.net/ww/aa10.exe
http://2.ww***d.net/ww/aa11.exe
http://2.ww***d.net/ww/aa12.exe
http://2.ww***d.net/ww/aa13.exe
http://2.ww***d.net/ww/aa14.exe
http://2.ww***d.net/ww/aa15.exe
http://2.ww***d.net/ww/aa16.exe
http://2.ww***d.net/ww/aa17.exe
http://2.ww***d.net/ww/aa18.exe
http://2.ww***d.net/ww/aa19.exe
http://2.ww***d.net/ww/aa20.exe
http://3.ww***d.net/ww/aa21.exe
http://3.ww***d.net/ww/aa22.exe
http://3.ww***d.net/ww/aa23.exe
http://3.ww***d.net/ww/aa24.exe
http://3.ww***d.net/ww/aa25.exe
http://3.ww***d.net/ww/aa26.exe
http://3.ww***d.net/ww/aa27.exe
http://3.ww***d.net/ww/aa28.exe
http://3.ww***d.net/ww/aa29.exe
http://3.ww***d.net/ww/aa30.exe
http://4.ww***d.net/ww/aa31.exe
http://4.ww***d.net/ww/aa32.exe
http://4.ww***d.net/ww/aa33.exe
http://4.ww***d.net/ww/aa34.exe
http://4.ww***d.net/ww/aa35.exe
http://4.ww***d.net/ww/aa36.exe
http://4.ww***d.net/ww/aa37.exe
http://4.ww***d.net/ww/aa38.exe
http://4.ww***d.net/ww/aa39.exe
http://4.ww***d.net/ww/aa40.exe
