蠕蟲程序
Worm.Win32.AutoRun.a
捕獲時間
2010-4-18
危害等級
中
病毒癥狀
該樣本是使用“VC /C”編寫的蠕蟲程序,由微點主動防御軟件自動捕獲,采用“UPX”加殼方式,加殼后長度為“30,720”字節,圖標為“
”,使用“exe”擴展名,通過移動存儲介質、文件捆綁、網頁掛馬、下載器下載等方式進行傳播。病毒主要目的是安裝木馬后門。
用戶中毒后會出現系統運行緩慢,殺毒軟件無故關閉后無法啟動,系統無故報錯,出現大量未知進程,雙擊磁盤盤符無法打開等現象。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳染途徑
網頁掛馬、文件捆綁、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬“,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現木馬"Worm.Win32.AutoRun.a”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1.手動刪除以下文件
%SystemRoot%\system32\ee5t.dll
%SystemRoot%\system32\drivers\AsyncMac.sys
%SystemRoot%\system32\drivers\aec.sys
%SystemRoot%\system32\drivers\pcidump.sys
%SystemRoot%\system32\drivers\etc\hosts
%SystemRoot%\system32\scvhost.exe
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\kav32.exe
X:\AUTORUN.INF (X為被感染盤符)
2.刪除以下注冊表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
數據:360Soft
原值:C:\WINDOWS\system32\scvhost.exe
并在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下的大量安全軟件的映像劫持項。
3.用正常文件替換
%SystemRoot%\system32\drivers\gm.dls
%SystemRoot%\explorer.exe
%SystemRoot%\system32\drivers\etc\hosts
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析:
1.創建互斥體,防止多次運行。檢查自身是否為Explorer.exe,如果是則執行explorer.exe。
2.打開服務管理器,刪除ekrn相關服務,并終止進程ekrn.exe、egui.exe。
3.釋放動態鏈接庫%SystemRoot%\system32\ee5t.dll,創建進程,調用%SystemRoot%\system32\rundll32.exe加載ee5t.dll運行。
4.ee5t.dll加載運行后,提升自身權限,創建進程快照,遍歷系統進程,查找大量安全相關軟件進程,找到后強制關閉其進程,停止其服務。釋放驅動文件aec.sys、AsyncMac.sys到系統目錄%和%SystemRoot%\system32\drivers下,并加載運行。獲取SSDT地址,加載aec.sys恢復SSDT,加載AsyncMac.sys關閉殺軟進程,在注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下建立大量殺軟映像劫持,通過操作注冊表,成功后刪除自身。
5.創建線程,循環遍歷本地磁盤,在磁盤根目錄下釋放AUTORUN.INF
將自身拷貝到recycle.{645FF040-5081-101B-9F08-00AA002F954E}\kav32.exe,
并創建目錄recycle.{645FF040-5081-101B-9F08-00AA002F954E}\safe..//,使其無法刪除。
6.釋放驅動文件pcidump.sys到%SystemRoot%\system32\drivers并加載運行實現感染系統文件%SystemRoot%\system32\drivers\gm.dls
%SystemRoot%\explorer.exe以注入到系統進程中運行,成功后刪除自身。關閉以下服務wscsvc、SharedAccess,釋放病毒文件extext6t.exe到%SystemRoot%,并創建進程加載運行。
7.extext6t.exe加載運行后創建互斥體,創建注冊表自啟動項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \360Soft實現自啟動。將病毒源文件拷貝到C:\WINDOWS\system32\scvhost.exe
8.查找查找windows文件保護窗口并將其設置為隱藏屬性。使用戶無法察覺。
9.創建線程獲取用戶MAC等信息向指定網址提交。
10.清除hosts文件并重建hosts文件,將其設置為只讀屬性。
11.等網絡連接,找開網絡從指定網址讀取病毒下載地址,下載大量病毒木馬到本地運行。
12.在病毒源文件釋放_temp.bat刪除病毒源文件及批處理自身,退出進程。
病毒創建文件:
%SystemRoot%\system32\ee5t.dll
%SystemRoot%\system32\drivers\AsyncMac.sys
%SystemRoot%\system32\drivers\aec.sys
%SystemRoot%\system32\drivers\pcidump.sys
%SystemRoot%\system32\drivers\etc\hosts
%SystemRoot%\system32\scvhost.exe
%SystemRoot%\system32\drivers\gm.dls
%SystemRoot%\explorer.exe
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\kav32.exe
X:\AUTORUN.INF (X為被感染盤符)
病毒修改注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
數據:360Soft
原值:C:\WINDOWS\system32\scvhost.exe
并在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
下建立大量安全軟件的映像劫持。
病毒訪問網絡:
http://countone.9**6.org/wocaonimade/7/count.asp
http://down2.9**6.org:83/down.txt
http://aac.88**.org/m/ox.exe
