蠕蟲病毒
Worm.Win32.AutoRun.ren
捕獲時間
2009-10-28
危害等級
高
病毒癥狀
該樣本是使用“VC”編寫的木馬程序,由微點主動防御軟件自動捕獲,采用“FSG”加殼方式,企圖躲避特征碼掃描,加殼后長度為“42,024 字節”,圖標為“
”,病毒擴展名為“exe”,主要通過“文件捆綁”、“下載器下載”、“網頁掛馬”、“移動存儲介質”等方式傳播,病毒主要目的為反大多數殺毒軟件、降低系統安全性能、下載大量病毒并傳播。
用戶中毒后,會出現網絡緩慢、殺毒軟件無故退出或失效,出現大量未知進程、系統運行緩慢和無故報錯等現象。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista
傳播途徑
網頁掛馬、文件捆綁、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Worm.Win32.AutoRun.ren”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1、手工恢復以下文件:
拷貝相同版本的userinit.exe替換%SystemRoot%\system32\userinit.exe
拷貝相同版本的AsyncMac.sys到%SystemRoot%\system32\drivers\AsyncMac.sys
拷貝相同版本的aec.sys到%SystemRoot%\system32\drivers\aec.sys
2、手動刪除以下文件:
%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}
%SystemRoot%\ extext76458345t.exe
%SystemDriver%\AUTORUN.INF
%SystemRoot%\system32\scvhost.exe
3、手動刪除以下注冊表鍵值:
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AsyncMac
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aec
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
鍵:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[所有劫持]
鍵:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\RsTray
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
(1)調用WinExec函數執行notepad.exe,查找Notepad窗口類,如果沒有找到,直接退出當前進程,如果找到,發送一個消息到當前主線程,主線程接受到消息之后,繼續執行。
(2)釋放動態鏈接庫%SystemRoot%\ee0t.dll(名字隨機生成)。
(3)創建進程,通過%SystemRoot%\system32\rundll32.exe %SystemRoot%\ee0t.dll testall載入動態鏈接庫。
(4)提升自身進程權限,獲得當前進程列表,檢測CCENTER.EXE、KAVStart.exe、avp.exe三個進程,如果發現進程,刪除相關服務和終止相關進程,病毒會調用SFC.dll動態鏈接庫去掉AsyncMac.sys和aec.sys兩個驅動文件的保護屬性,并釋放驅動文件aec.sys和AsyncMac.sys,創建服務并啟動驅動。啟動完成后,通過aec.sys驅動來恢復SSDT,通過AsyncMac.sys驅動來終止殺軟進程,修改注冊表實現鏡像劫持,并刪除所有注冊表啟動項目、刪除aec.sys和AsyncMac.sys兩個驅動文件。同時刪除%SystemRoot%\ee0t.dll。
(5)創建目錄%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E},然后病毒將主體重命名為rav32.exe,拷貝到%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe,并設置文件屬性為系統隱藏,寫AUTORUN.INF,使用戶打開系統磁盤或打開資源管理器就執行病毒。
停止名為“wscsvc”和“ShareAccess”的服務,接著通過cacls將%SystemRoot%\system32\目錄和%TEMP%目錄的訪問權限設置為everyone完全控制。
(6)釋放%SystemRoot%\extext76458345t.exe并執行。將病毒自身重命名為scvhost.exe拷貝到%SystemRoot%\system32\目錄下。
(7)創建互斥體,防止多次運行,創建新線程,統計本地感染機器的網卡地址、系統版本和時間,將這些信息發送到黑客指定的地址。
(8)病毒獲得注冊表操作相關API函數虛擬地址,添加注冊表自啟動項。
(9)獲得控制服務操作相關API函數的實際虛擬地址, 釋放驅動%SystemRoot%\system32\drivers\pcidump.sys,創建服務并加載啟動,
通過該驅動,將extext76458345t.exe的地址寫入%SystemRoot%\system32\userinit.exe文件的地址空間,感染userinit.exe文件。之后,刪除驅動%SystemRoot%\system32\drivers\pcidump.sys和服務。
(10)訪問病毒下載地址列表,下載新病毒到本地運行。
(11)在病毒主文件的當前目錄創建批處理文件_temp.bat,并隱藏執行該批處理,執行完后刪除病毒自身和_temp.bat文件。
病毒創建文件:
%SystemRoot%\ee0t.dll
%SystemRoot%\system32\drivers\aec.sys
%SystemRoot%\system32\drivers\AsyncMac.sys
%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}
%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe
%SystemRoot%\extext76458345t.exe
%SystemDriver%\AUTORUN.INF
%SystemRoot%\system32\drivers\pcidump.sys
%SystemRoot%\system32\scvhost.exe
X:\_temp.bat (X為病毒主文件所在路徑)
病毒修改文件:
%SystemRoot%\system32\userinit.exe
病毒刪除文件:
%SystemRoot%\ee0t.dll
%SystemRoot%\system32\drivers\aec.sys
%SystemRoot%\system32\drivers\AsyncMac.sys
%SystemRoot%\system32\drivers\pcidump.sys
X:\_temp.bat (X為病毒主文件所在路徑)
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AsyncMac
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aec
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[鏡像劫持]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\RsTray
病毒刪除注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[安全軟件]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
病毒訪問網絡:
http://count?mac=xxxxx&ver=xxx&os=&dtime=xxx-xx-xx
http://xia***666811.7766.org/cong.asp
http://xia***6668.7766.org/h.jpg
http://cesh***.7766.org/cj.txt
