網絡蠕蟲
Worm.Win32.AutoRun.wmv
捕獲時間
2011-07-06
危害等級
中
病毒癥狀
該樣本是使用“vc ”編寫的網絡蠕蟲程序,由微點主動防御軟件自動捕獲,采用“UPX”加殼方式,企圖躲避特征碼掃描,加殼后長度為長度為“85,248 字節”,圖標為“
”,病毒擴展名為“.exe”,病毒主要通過“文件捆綁”、“下載器下載”,“網頁掛馬”等方式傳播,病毒主要目的劫持瀏覽器并篡改主頁訪問黑客指定的網站,下載大量文件到用戶本地計算機,用戶中毒后將出現系統運行緩慢,出現未知進程。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網頁掛馬、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知間諜”,請直接選擇刪除處理(如圖1)
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現木馬"Worm.Win32.AutoRun.wmv”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1.手動刪除以下文件
%SystemRoot%\system32\hdayybmxss
%SystemRoot%\system32\hieelhugqs
%SystemDriver%\pmcseijvhf.txt
%ProgramFiles%\Common Files\BOSC.dll
%SystemDriver%\oydiwjabln.jpg
X:\My Documamts.exe(X為固定磁盤、移動硬盤、U盤、網絡設備盤符)
2.刪除注冊表
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
鍵值: NeverShowExt數據: 1
3.修改注冊表
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F986CC17-37C0-4585-B7D9-15F2161F0584}\shell\OpenHomePage\Command
鍵值: 數據: iexplore.exe
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\Program Files”
病毒分析:
1.設置自己的為"SeDebugPrivilege",以提升自己的權限。遍歷磁盤獲得其屬性,保存類型為固定分區、移動設備和網絡設備的磁盤以便感染。
2.在系統目錄下創建hdayybmxss和hieelhugqs目錄,并設置為隱藏屬性,拷貝自身兩份分別到剛創建的兩個目錄下為:%ProgramRoot%\system32\hdayybmxss\explorer.exe和%ProgramRoot%\system32\hieelhugqs\smss.exe,通過運行這兩個文件。
3.在系統盤創建%SystemDriver%\pmcseijvhf.txt、%ProgramFiles%\Common Files\BOSC.dll和%SystemDriver%\oydiwjabln.gif等文件并釋放配置文件及病毒代碼到以上文件中,創建目錄%SystemDriver%\VSPS,在此目錄中釋放文件,在所有可感染的其它固定分區、移動硬盤、U盤、網絡設備創建X:\My Documamts.exe(X為相對應的盤符),設置以上所有文件為隱藏屬性并隱藏其擴展名,設置系統隱藏文件不可見。
4.修改注冊表鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F986CC17-37C0-4585-B7D9-15F2161F0584}\shell\OpenHomePage\Command
鍵值: 數據: iexplore.exe http://www.sfc***.com/?Activex98
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
鍵值: NeverShowExt數據: 1
5.加入自啟動鏈接%Documents and Settings%\All Users\「開始」菜單\程序\啟動\qmmqoalksb.exe,在桌面上創建多個惡意網站的IE鏈接,劫持瀏覽器并篡改主頁訪問黑客指定的網站,下載大量文件到用戶本地計算機。
病毒創建文件:
%SystemRoot%\system32\hdayybmxss
%SystemRoot%\system32\hieelhugqs
%SystemDriver%\pmcseijvhf.txt
%ProgramFiles%\Common Files\BOSC.dll
%SystemDriver%\oydiwjabln.jpg
X:\My Documamts.exe(X為固定磁盤、移動硬盤、U盤、網絡設備盤符)
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F986CC17-37C0-4585-B7D9-15F2161F0584}\shell\OpenHomePage\Command
鍵值: 數據: iexplore.exe http://www.sfc***.com/?Activex72
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
鍵值: NeverShowExt數據: 1
病毒訪問網絡:
http://www.sfc***.com/?Activex98
http://www.sfc***.com/taobao.htm
