蠕蟲病毒
Worm.Win32.AutoRun.brv
捕獲時間
2009-10-21
危害等級
高
病毒癥狀
該樣本是使用“VC”編寫的蠕蟲病毒�����,由微點主動防御軟件自動捕獲�����,采用“WinUpack”加殼方式�����,企圖躲避特征碼掃描�,加殼后長度為“24,792 字節”,圖標為“
”�����,病毒擴展名為“exe”�,主要通過“文件捆綁”、“下載器下載”����、“移動存儲介質”等方式傳播�����,病毒主要目的為下載新病毒并執行。
用戶中毒后�,會出現大多數殺毒軟件退出或失效���、系統運行緩慢����、網絡速度降低��、無法查看系統隱藏文件����、移動存儲介質感染病毒等現象�。
感染對象
Windows 2000/Windows XP/Windows 2003/Vista
傳播途徑
網頁木馬、文件捆綁����、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶�����,無須任何設置�,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版�����,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”��,請直接選擇刪除處理(如圖1)����;
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本�����,微點將報警提示您發現"Worm.Win32.AutoRun.brv”����,請直接選擇刪除(如圖2)�。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1、手動恢復以下文件:
拷貝相同版本文件到: %SystemRoot%\system32\linkinfo.dll
2���、手動刪除以下文件:
%TEMP%\dll1.tmp
X:\EI.PIF
X:\AUTORUN.INF (X為任意盤符)
3、手動刪除以下注冊表值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[所有劫持]
4����、手動修改以下注冊表:
修復顯示隱藏文件:
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\
folder\hidden\showall
值:CheckedValue
數據:1
變量聲明:
%SystemDriver% 系統所在分區���,通常為“C:\”
%SystemRoot% WINDODWS所在目錄�����,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄��,通常為:“C:\ProgramFiles”
病毒分析
(1)執行%SystemRoot%\system32\taskmgr.exe,如果執行失敗�����,則直接退出當前進程��。
(2)如果執行%SystemRoot%\system32\taskmgr.exe成功,設置自身主程序為隱藏�,檢查文件AUTORUN.INF是否存在���,如果存在�����,則執
行AUTORUN.INF,運行病毒程序。如果不存在�����,則設置下次系統重啟后刪除自身��。
(3)創建互斥體�����,提升自身進程權限,遍歷進程列表,查找進程"ekrn.exe"���、"nod32krn.exe"是否存在���,若找到�,嘗試通過"cmd /c sc
delete"命令刪除其服務����,通過"cmd /c taskkill"命令強行終止進程"ekrn.exe"����、"egui.exe"、"nod32krn.exe"和"nod32kui.exe"�。
(4)釋放動態鏈接庫%SystemDriver%\htl.dll,隱式創建一個標題為"CHINA"的對話框作為執行標記����,并設置%SystemDriver%\htl.dll
文件屬性為隱藏�����。
(5)遍歷進程列表����,查找進程"CCenter.exe"是否存在���,如果發現該進程�,則釋放腳本文件%SystemRoot%\Fonts\ls.VBS并執行,通過腳
本命令"wshshell.run "rundll32 %SystemDriver%\htl.dll,RSDK",0"加載動態鏈接庫%SystemDriver%\htl.dll,完成之后����,刪除
%SystemRoot%\Fonts\ls.VBS,如果沒有找到進程"CCenter.exe",則直接通過調用%SystemRoot%\system32\rundll32.exe加載
%SystemDriver%\htl.dll���。
(6)加載%SystemDriver%\htl.dll后����,病毒去除驅動文件%SystemRoot%\system32\drivers\asyncmac.sys的文件保護屬性�,并釋放一個同名文件替換該正常驅動文件,創建名為"AsyncMac"的服務并啟動��,通過加載該驅動恢復SSDT,完成之后���,刪除驅動
%SystemRoot%\system32\drivers\asyncmac.sys,并刪除"AsyncMac"服務�����。最后銷毀標題為"CHINA"的對話框���,結束執行標記����。
(7)釋放動態鏈接庫%TEMP%\dll1.tmp并加載����,遍歷進程列表,檢測大多數反病毒軟件和工具的進程����,若發現匹配進程��,將其進程終止,并檢測C��、D����、E盤符路徑"\Program Files\Rising\Rav\RavMonD.exe"、"\Program Files\Rising\Rav\CCenter.exe",若找到匹配程序�,將其主程序刪除���。
(8)通過修改注冊表���,使用戶無法查看系統隱藏文件,通過刪除注冊表啟動項�����,使部分殺毒軟件無法自啟動���。
(9)從指定網址獲得病毒下載列表��,并將該列表保存到%SystemRoot%\Fonts\sits.ini資源配置文件中�,然后讀取配置文件����,從網絡下載大量新病毒。
(10)遍歷進程列表��,查找進程"avp.exe"�,并檢測"kavbase.kdl"和"webav.kdl"兩個模塊是否運行,如果找到匹配項,終止進程"avp.exe"�,通過執行命令"cmd /c sc config avp start=disabled"停止其服務���。
(11)以上操作完成之后����,刪除%SystemDriver%\htl.dll,查找文件%SystemRoot%\system32\dllcache\linkinfo.dll是否存在����,如果沒找到,則將%SystemRoot%\system32\linkinfo.dll復制到%SystemRoot%\system32\dllcache\linkinfo.dll,將
%SystemRoot%\system32\linkinfo.dll映射到內存,釋放驅動%SystemRoot%\Fonts\vkxk.sys,創建名為"vkxk"的服務并啟動��,通過該驅動修改文件%SystemRoot%\system32\linkinfo.dll�。完成之后,刪除文件%SystemRoot%\Fonts\vkxk.sys�。
(12)對"avp.exe"作鏡像劫持���,并釋放驅動%SystemRoot%\Fonts\kvxxk.sys,創建名為"kvxxk"的服務并啟動�,通過加載該驅動結束進程"avp.exe"并終止其服務���。完成之后�����,刪除文件%SystemRoot%\Fonts\kvxxk.sys。
(13)遍歷磁盤��,釋放VIQG.PIF和AUTORUN.INF文件,以達到自動運行病毒的目的。
病毒創建文件:
%SystemDriver%\htl.dll
%SystemRoot%\Fonts\ls.VBS
%SystemRoot%\system32\drivers\asyncmac.sys
%TEMP%\dll1.tmp
%SystemRoot%\Fonts\sits.ini
%SystemRoot%\Fonts\vkxk.sys
%SystemRoot%\Fonts\kvxxk.sys
X:\VIQG.PIF
X:\AUTORUN.INF (X為任意盤符)
病毒修改文件:
%SystemRoot%\system32\linkinfo.dll
病毒刪除文件:
%SystemDriver%\htl.dll
%SystemRoot%\Fonts\ls.VBS
%SystemRoot%\system32\drivers\asyncmac.sys
%SystemRoot%\Fonts\vkxk.sys
%SystemRoot%\Fonts\kvxxk.sys
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[映像劫持]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asyncmac
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vkxk
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kvxxk
病毒修改注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\
advanced\folder\hidden\showal\CheckedValue
病毒刪除注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[安全軟件]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asyncmac
病毒訪問網絡:
http://76.**.**.147/b/qt.exe
http://76.**.**.147/b/2.exe
http://76.**.**.147/b/6.exe
http://76.**.**.147/b/ty.exe
http://76.**.**.147/b/cc.exe
http://76.**.**.147/b/tl.exe
http://76.**.**.147/b/9.exe
http://76.**.**.147/b/ap.exe
