蠕蟲程序
Worm.Win32.AutoRun.uec
捕獲時間
2011-02-02
危害等級
中
病毒癥狀
該樣本是使用“C/C ”編寫的蠕蟲,由微點主動防御軟件自動捕獲,采用“ASPack”加殼方式試圖躲避特征碼掃描,加殼后長度為“83,968”字節,圖標為“
”,病毒擴展名為“exe”,主要通過“文件捆綁”、“下載器下載”、“網頁掛馬”、“可移動存儲器感染”等方式傳播,病毒主要目的是盜取用戶信息。
用戶中毒后,會出現系統運行緩慢,網絡擁堵,重要資料丟失等現象。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網頁掛馬、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“后門程序”,請直接選擇刪除處理(如圖1)
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現木馬"Worm.Win32.AutoRun.uec”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1.停止名為“6to4”的服務項
2.刪除一下注冊表項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\6to4\
3.清空以下注冊表項下的內容:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
4.用正常文件替換以下文件:
%SystemRoot%\system32\appmgmts.dll
%SystemRoot%\system32\qmgr.dll
%SystemRoot%\system32\shsvcs.dll
%SystemRoot%\system32\mspmsnsv.dll
%SystemRoot%\system32\xmlprov.dll
%SystemRoot%\system32\ntmssvc.dll
%SystemRoot%\system32\upnphost.dll
%SystemRoot%\system32\mswsock.dll
%SystemRoot%\system32\ssdpsrv.dll
%SystemRoot%\system32\tapisrv.dll
%SystemRoot%\system32\browser.dll
%SystemRoot%\system32\cryptsvc.dll
%SystemRoot%\system32\pchsvc.dll
%SystemRoot%\system32\regsvc.dll
%SystemRoot%\system32\ schedsvc.dll
5.刪除以下文件:
%SystemRoot%\system32\538535A0.sys(隨機命名)
%SystemRoot%\System32\6to4.dll
X\autorun.inf(X為可移動存儲器盤符)
X\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\uninstall.exe(X為可移動存儲器盤符)
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\Program Files”
病毒分析
(1)病毒創建通道設備“\\.\pipe\{D952F2D0-0BCE-4b2b-8FFF-2317F120FCC3}”
(2)查找安全軟件進程“RavMonD.exe”、“360tray.exe”、“MPSVC.exe”,若發現則嘗試強制結束。
(3)病毒釋放hosts文件,替換%SystemRoot%\system32\drivers\etc\hosts,防止網絡被屏蔽。
(4)病毒創建信息記錄文件%Documents and Settings%\Infotmp.txt,用以記錄用戶系統信息以及病毒釋放文件路徑。
(5)病毒獲取臨時路徑,截取當前屏幕。并將截屏圖像保存為%Temp%\51352130.log(隨機命名)。
(6)完成后,病毒讀取自身資源,生成%SystemRoot%\system32\01C606DB.tmp和%SystemRoot%\system32\538535A0.sys
(7)用01C606DB.tmp替換以下任意一服務文件用以開機啟動,一旦替換成功則不再替換:
%SystemRoot%\system32\appmgmts.dll
%SystemRoot%\system32\qmgr.dll
%SystemRoot%\system32\shsvcs.dll
%SystemRoot%\system32\mspmsnsv.dll
%SystemRoot%\system32\xmlprov.dll
%SystemRoot%\system32\ntmssvc.dll
%SystemRoot%\system32\upnphost.dll
%SystemRoot%\system32\mswsock.dll
%SystemRoot%\system32\ssdpsrv.dll
%SystemRoot%\system32\tapisrv.dll
%SystemRoot%\system32\browser.dll
%SystemRoot%\system32\cryptsvc.dll
%SystemRoot%\system32\pchsvc.dll
%SystemRoot%\system32\regsvc.dll
%SystemRoot%\system32\ schedsvc.dll
(8)若不成功則將01C606DB.tmp改名為6to4.dll,并為其創建服務項,對應注冊表值為:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\
名稱:ImagePath
數值:%SystemRoot%\System32\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\Parameters\
名稱:ServiceDll
數值:%SystemRoot%\System32\6to4.dll
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\6to4\
名稱:ImagePath
數值:%SystemRoot%\System32\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\6to4\Parameters\
名稱:ServiceDll
數值:%SystemRoot%\System32\6to4.dll
(9)對以下程序創建映像劫持:360hotfix.exe、360rp.exe、360rpt.exe、360safe.exe、360safebox.exe、360sd.exe、 360se.exe、360SoftMgrSvc.exe、360speedld.exe、360tray.exe、afwServ.exe、 ast.exe、AvastUI.exe、avcenter.exe、avfwsvc.exe、avgnt.exe、avguard.exe、 avmaiavmailc.exe、avp.exe、avshadow.exe、avwebgavwebgrd.exe、bdagent.exe、 CCenter.exe、ccSvcHst.exe、dwengine.exe、egui.exe、ekrn.exe、FilMsg.exe、 kavstart.exe、kissvc.exe、kmailmon.exe、kpfw32.exe、kpfwsvc.exe、 krnl360svc.exe、ksmgui.exe、ksmsvc.exe、kswebshield.exe、KVMonXP.kxp、 KVSrvXP.exe、kwatch.exe、livesrv.exe、Mcagent.exe、mcmscsvc.exe、McNASvc.exe、 Mcods.exe、McProxy.exe、Mcshield.exe、mcsysmon.exe、mcvsshld.exe、MpfSrv.exe、 MPMon.exe、MPSVC.exe、MPSVC1.exe、MPSVC2.exe、msksrver.exe、qutmserv.exe、 RavMonD.exe、RavTask.exe、RsAgent.exe、rsnetsvr.exe、RsTray.exe、 safeboxTray.exe、ScanFrm.exe、sched.exe、seccenter.exe、SfCtlCom.exe、 Debugger、spideragent.exe、SpIDerMl.exe、spidernt.exe、spiderui.exe、 TMBMSRV.exe、TmProxy.exe、Twister.exe、UfSeAgnt.exe、vsserv.exe、 zhudongfangyu.exe、修復工具.exe
(10)加載%SystemRoot%\system32\538535A0.sys,恢復SSDT使部分安全軟件失效。并且掛FSD鉤子及TCP/IP鉤子用以監控用戶行為
(11)遍歷本地盤符,并獲取每個盤符對應的磁盤類型,發現可移動存儲器則寫入在根目錄下創建文件夾recycle.{645FF040-5081-101B-9F08-00AA002F954E},并將病毒自身復制到該文件夾下并命名為uninstall.exe。完成后在磁盤根目錄下創建autorun.inf文件,指向病毒。
(12)向指定地址上傳%Documents and Settings%\Infotmp.txt和%Temp%\51352130.log,成功后刪除這兩個文件和病毒自身。
(13)病毒替換的動態庫文件連接指定網址,等待黑客進一步指令。
病毒創建文件:
%Documents and Settings%\Infotmp.txt
%Temp%\51352130.log(隨機命名)
%SystemRoot%\system32\01C606DB.tmp(隨機命名)
%SystemRoot%\system32\538535A0.sys(隨機命名)
%SystemRoot%\System32\6to4.dll
X\autorun.inf(X為可移動存儲器盤符)
X\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\uninstall.exe(X為可移動存儲器盤符)
病毒替換文件:
%SystemRoot%\system32\appmgmts.dll
%SystemRoot%\system32\qmgr.dll
%SystemRoot%\system32\shsvcs.dll
%SystemRoot%\system32\mspmsnsv.dll
%SystemRoot%\system32\xmlprov.dll
%SystemRoot%\system32\ntmssvc.dll
%SystemRoot%\system32\upnphost.dll
%SystemRoot%\system32\mswsock.dll
%SystemRoot%\system32\ssdpsrv.dll
%SystemRoot%\system32\tapisrv.dll
%SystemRoot%\system32\browser.dll
%SystemRoot%\system32\cryptsvc.dll
%SystemRoot%\system32\pchsvc.dll
%SystemRoot%\system32\regsvc.dll
%SystemRoot%\system32\ schedsvc.dll
病毒刪除文件:
%Documents and Settings%\Infotmp.txt
%Temp%\51352130.log(隨機命名)
%SystemRoot%\system32\01C606DB.tmp(隨機命名)
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\
名稱:ImagePath
數值:%SystemRoot%\System32\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\Parameters\
名稱:ServiceDll
數值:%SystemRoot%\System32\6to4.dll
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\6to4\
名稱:ImagePath
數值:%SystemRoot%\System32\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\6to4\Parameters\
名稱:ServiceDll
數值:%SystemRoot%\System32\6to4.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[映像劫持文件名]
病毒連接網絡:
174.139.***.105:1246
