蠕蟲程序
Worm.Win32.AutoRun.tzj
捕獲時間
2011-01-22
危害等級
中
病毒癥狀
該樣本是使用“VC ”編寫的蠕蟲程序,由微點主動防御軟件自動捕獲,長度為“26,624 ”字節,圖標為“
”,病毒擴展名為“exe”,主要通過“文件捆綁”、“下載器下載”、“網頁掛馬”、“可移動存儲器”等方式傳播,病毒主要目的是下載病毒到本地運行,感染用戶可移動磁盤。
用戶中毒后,會出現系統運行緩慢,網絡擁擠,重要資料丟失,U盤自動運行等現象。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網頁掛馬、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1)
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現木馬"Worm.Win32.AutoRun.tzj”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1.刪除以下文件:
%Temp%\tmp~setup.exe
%Temp%\setup.exe
%Temp%\tmp~logo.gif
%Temp%\tmp~
X:\RECYCLER\SYSTEM..\RECYCLER
X:\RECYCLER\desktop.ini
X:\AutoRun.inf
2.刪除以下注冊表項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ScsiDrv
3.用微點殺毒軟件修復感染的exe文件
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
(1)查看系統消息隊列是是否有要處理的鼠標,鍵盤消息,如果有,從消息隊列中取出該消息;
(2)得到病毒的路徑名,查找字符中是否有“\..\”、“SYSTEM.\”、“\RECYCLER\SYSTEM..\RECYCLER”,以確定運行的是否為感染后的文件還是未感染的文件;
(3)比較自身路徑名稱是否為C:\WINDOWS\system32\drivers\scsi4dos.sys。如果不是,查看自身是否位于svchost進程或RECYCLER目錄。如果位于,則執行感染后的文件;
(4)如果病毒還未感染,會讀取自身信息,根據傳遞參數類型獲取函數返回值;
(5)如果返回值為0,病毒會復制自身到C:\WINDOWS\system32\drivers目錄下并重命名為scsi4dos.sys;打開服務管理器,創建名稱為ScsiDrv的服務,啟動該服務;創建注冊表服務項HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ScsiDrv,數據指向C:\WINDOWS\system32\drivers\scsi4dos.sys;然后創建進程運行 scsi4dos.sys,退出自身進程;
(6)如果返回值非0,病毒會在%Temp%目錄下創建文件tmp~setup.exe、tmp~logo.gif、setup.exe,然后將tmp~setup.exe復制為C:\WINDOWS\system32\drivers\scsi4dos.sys,運行scsi4dos.sys;
(7)scsi4dos.sys運行后,比較自身是否位于C:\WINDOWS\system32\svchost.exe;如果不是,打開svchost.exe進程;將自身進程注入到svchost.exe的遠端線程,達到隱藏自身進程的目的;如果注入成功,會創建名為EvilEva的互斥量,防止多個程序運行;否則刪除自身退出進程;
(8) 創建線程,連接病毒網絡http://hi.***.com/_evileva_/profile,從網絡讀取數據寫入本地%Temp%\temp~文件,然后運行該文件;
(9)遍歷所有磁盤驅動器查找可移動磁盤,在該盤符根目錄下下創建文件夾“RECYCLER”,設置文件夾屬性為系統、只讀、隱藏,在X:\RECYCLER目錄下創建配置文件desktop.ini(X為可移動磁盤);創建目錄X:\RECYCLER\SYSTEM..\,把C:\WINDOWS\system32\drivers\scsi4dos.sys復制到該目錄下并重命名為RECYCLER;
(10) 在X盤符根目錄下創建AutoRun.inf配置文件 ,設置文件屬性為系統、只讀、隱藏;U盤運行后,利用Windows的自動播放功能自動運行X:\RECYCLER\SYSTEM..\RECYCLER
(11)創建線程,感染所有可移動磁盤下的.exe文件,文件運行后,會運行感染的代碼;
(12)刪除C:\WINDOWS\system32\drivers\scsi4dos.sys,退出自身進程;
病毒創建文件:
C:\WINDOWS\system32\drivers\scsi4dos.sys
%Temp%\tmp~setup.exe
%Temp%\setup.exe
%Temp%\tmp~logo.gif
%Temp%\tmp~
X:\RECYCLER\SYSTEM..\RECYCLER
X:\RECYCLER\desktop.ini
X:\AutoRun.inf
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ScsiDrv
名稱:ScsiDrv
數據:C:\WINDOWS\system32\drivers\scsi4dos.sys
病毒訪問網絡:
http://hi.***.com/_evileva_/profile
