蠕蟲(chóng)程序
Worm.Win32.Qvod.da
捕獲時(shí)間
2010-11-22
危害等級(jí)
中
病毒癥狀
該樣本是使用“C/C ”編寫的蠕蟲(chóng)程序,由微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲,采用“PEtite”加殼方式試圖躲避特征碼掃描,加殼后長(zhǎng)度為“94,028”字節(jié),圖標(biāo)為“
”,病毒擴(kuò)展名為“exe”,主要通過(guò)“文件捆綁”、“下載器下載”、“網(wǎng)頁(yè)掛馬”、“可移動(dòng)存儲(chǔ)設(shè)備感染”等方式傳播,病毒主要目的是下載木馬程序到本地運(yùn)行。
用戶中毒后,會(huì)出現(xiàn)計(jì)算機(jī)運(yùn)行緩慢,出現(xiàn)未知進(jìn)程,網(wǎng)絡(luò)擁堵等現(xiàn)象。
感染對(duì)象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網(wǎng)頁(yè)掛馬、下載器下載
防范措施
已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶,無(wú)須任何設(shè)置,微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無(wú)論您是否已經(jīng)升級(jí)到最新版本,微點(diǎn)主動(dòng)防御都能夠有效清除該病毒。如果您沒(méi)有將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版,微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“未知木馬”,請(qǐng)直接選擇刪除處理(如圖1)
圖1 微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲未知病毒(未升級(jí))
如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版本,微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)木馬"Worm.Win32.Qvod.da”,請(qǐng)直接選擇刪除(如圖2)。
圖2 微點(diǎn)主動(dòng)防御軟件升級(jí)后截獲已知病毒
未安裝微點(diǎn)主動(dòng)防御軟件的手動(dòng)解決辦法:
1.進(jìn)入安全模式
2.手動(dòng)刪除%SystemRoot%\system32\6to4.dll
3.將以下文件替換為正常文件:
%SystemRoot%\system32\appmgmts.dll
%SystemRoot%\system32\qmgr.dll
%SystemRoot%\system32\shsvcs.dll
%SystemRoot%\system32\mspmsnsv.dll
%SystemRoot%\system32\xmlprov.dll
%SystemRoot%\system32\ntmssvc.dll
%SystemRoot%\system32\upnphost.dll
%SystemRoot%\system32\mswsock.dll
%SystemRoot%\system32\ssdpsrv.dll
%SystemRoot%\system32\tapisrv.dll
%SystemRoot%\system32\browser.dll
%SystemRoot%\system32\cryptsvc.dll
%SystemRoot%\system32\pchsvc.dll
%SystemRoot%\system32\regsvc.dll
%SystemRoot%\system32\schedsvc.dll
%SystemRoot%\system32\drivers\etc\hosts
4.清空HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\下所有注冊(cè)表項(xiàng)
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū),通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時(shí)文件夾,通常為“C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認(rèn)安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
(1)病毒偽裝為Qvod主程序,欺騙用戶點(diǎn)擊。
(2)創(chuàng)建設(shè)備“\\.\pipe\{D952F2D0-0BCE-4b2b-8FFF-2317F120FCC3}”,以免重復(fù)運(yùn)行。
(3)建立進(jìn)程快照,查找是否存在以下進(jìn)程存在:RavMonD.exe,360tray.exe,MPSVC.exe,若存在則設(shè)法結(jié)束進(jìn)程。
(4)完成后病毒獲取自身名稱以及系統(tǒng)版本等信息,寫入到%Documents and Settings%\Infotmp.txt
(5)病毒調(diào)用sfc_os.dll中的#5函數(shù),關(guān)閉Windows系統(tǒng)的文件保護(hù)
(6)成功后讀取自身資源,替換系統(tǒng)文件%SystemRoot%\system32\appmgmts.dll,若不成功則依次替換以下系統(tǒng)文件,直至成功為止:
%SystemRoot%\system32\qmgr.dll
%SystemRoot%\system32\shsvcs.dll
%SystemRoot%\system32\mspmsnsv.dll
%SystemRoot%\system32\xmlprov.dll
%SystemRoot%\system32\ntmssvc.dll
%SystemRoot%\system32\upnphost.dll
%SystemRoot%\system32\mswsock.dll
%SystemRoot%\system32\ssdpsrv.dll
%SystemRoot%\system32\tapisrv.dll
%SystemRoot%\system32\browser.dll
%SystemRoot%\system32\cryptsvc.dll
%SystemRoot%\system32\pchsvc.dll
%SystemRoot%\system32\regsvc.dll
%SystemRoot%\system32\schedsvc.dll
(7)若均失敗則自行創(chuàng)建文件%SystemRoot%\system32\6to4.dll,并將該動(dòng)態(tài)鏈接庫(kù)文件加載為驅(qū)動(dòng),對(duì)應(yīng)注冊(cè)表項(xiàng)為:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4
(8)%SystemRoot%\system32\6to4.dll隨系統(tǒng)服務(wù)項(xiàng)啟動(dòng),檢查自身是否已經(jīng)注入到%SystemRoot%\system32\路徑下的程序中啟動(dòng)。
(9)創(chuàng)建線程,通過(guò)讀取%Documents and Settings%\Infotmp.txt的內(nèi)容,找到病毒源程序的路徑。找到后,刪除病毒源程序和%Documents and Settings%\Infotmp.txt
(10)創(chuàng)建設(shè)備“\\.\gssit”,完成后創(chuàng)建驅(qū)動(dòng)文件%SystemRoot%\system32\drivers\366F1602.sys(隨機(jī)命名),完成后將該驅(qū)動(dòng)文件加載為服務(wù)項(xiàng)并利用之間創(chuàng)建的設(shè)備與該驅(qū)動(dòng)通信對(duì)抗殺毒軟件。完成后自行刪除文件以及注冊(cè)表項(xiàng)。對(duì)應(yīng)注冊(cè)表為:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\366F1602(隨機(jī)命名)
(11)建立映像劫持,屏蔽大量安全軟件啟動(dòng)。對(duì)應(yīng)注冊(cè)表位置為:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
(12)訪問(wèn)指定網(wǎng)絡(luò),下載病毒到本地運(yùn)行。并下載屏蔽列表到本地替換%SystemRoot%\system32\drivers\etc\hosts以實(shí)現(xiàn)對(duì)指定安全網(wǎng)站的屏蔽。
(13)遍歷盤符,檢查磁盤類型,發(fā)現(xiàn)可移動(dòng)存儲(chǔ)器便建立autorun.inf文件,并建立一個(gè)偽裝為回收站的文件夾recycle.{645FF040-5081-101B-9F08-00AA002F954E} ,將屬性設(shè)置為系統(tǒng)隱藏。
病毒創(chuàng)建文件:
%Documents and Settings%\Infotmp.txt
%SystemRoot%\system32\drivers\366F1602.sys(隨機(jī)命名)
%SystemRoot%\system32\6to4.dll
病毒替換文件:
%SystemRoot%\system32\appmgmts.dll
%SystemRoot%\system32\qmgr.dll
%SystemRoot%\system32\shsvcs.dll
%SystemRoot%\system32\mspmsnsv.dll
%SystemRoot%\system32\xmlprov.dll
%SystemRoot%\system32\ntmssvc.dll
%SystemRoot%\system32\upnphost.dll
%SystemRoot%\system32\mswsock.dll
%SystemRoot%\system32\ssdpsrv.dll
%SystemRoot%\system32\tapisrv.dll
%SystemRoot%\system32\browser.dll
%SystemRoot%\system32\cryptsvc.dll
%SystemRoot%\system32\pchsvc.dll
%SystemRoot%\system32\regsvc.dll
%SystemRoot%\system32\schedsvc.dll
%SystemRoot%\system32\drivers\etc\hosts
病毒刪除文件:
病毒源程序
%Documents and Settings%\Infotmp.txt
%SystemRoot%\system32\drivers\366F1602.sys(隨機(jī)命名)
病毒創(chuàng)建注冊(cè)表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\366F1602(隨機(jī)命名)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[映像劫持名]
病毒刪除注冊(cè)表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\366F1602(隨機(jī)命名)
病毒訪問(wèn)網(wǎng)絡(luò):
208.***.24.254:8080
65.***.220.46:80
61.***.144.21:7070
121.***.92.209:8080
119.***.59.217:8080
199.***.52.190:80
221.***.150.250:7070
