Worm.Win32.AutoRun.rea分析
一、 病毒标签:病毒名称: Worm.Win32.AutoRun.rea
病毒类型: 蠕虫
文件 MD5: F75FF54CD0354133FBEE12259D8E6F36
公开范围: 完全公开
危害等级: 4
文件长度: 14,677 字节
感染系统: Windows98以上版本
开发工具: NsPacK V3.4-V3.5 -> LiuXingPing *
二、 病毒描述:
该病毒图标伪装成图片诱惑用户点击,病毒运行后,创建互斥量防止病毒多次运行,删除%System32%目录下得mfc71.dll文件,遍历进程查找safeboxTray.exe(360安全软件进程),找到该进程后将其进程强行结束,设置本地时间为2004年,用ShellExecuteA函数调用cacls.exe给everyone 用户组对packet.dll pthreadVC.dll wpcap.dll npf.sys npptools.dll、wanpacket.dll acpidisk.sys 的完全控制,释放病毒驱动文件beep.sys到%System32%\Drivers目录下,替换现有的驱动文件,创建驱动设置名:“\\.\RESSDTDOT”利用系统beep服务加载病毒文件,恢复SSDT躲避卡巴主动提示,遍历进程查找多款安全软件进程找到则将其进程强行结束,并停止多款安全软件服务,将%System32%目录下的wuauct.exe拷贝到%HomeDrive%下重命名:temp.temp,拷贝病毒自身到%System32%目录下与%System32%Dllcache目录下,调用iexplore.exe创建进程,调用FindWindows函数查找类名为"IEFrame" 窗口,申请内存空间,将病毒代码写入IEXPLORE.EXE连接网路执行下载,拷贝自身到%HomeDrive%下命名为:MSCL.PLF,在每个驱动器下创建AUTORUN.INF达到双击启动病毒目的,获取光标位置、获取窗口句柄、获取当前窗口标签内容,检测当前窗口标题是否存在病毒预设的标题(多款安全软件标题),如发现则向该窗体发送消息将当前窗体关闭,将病毒自身属性设置为隐藏,修改注册表、删除注册表坏安全模式、添加注册表启动项、劫持多款安全软件进程。
三、 行为分析:
本地行为:
1、调用函数CreateMutexA创建互斥量名为:“HENGHENG”,防止病毒多次运行,删除%System32%目录下得mfc71.dll文件,遍历进程查找safeboxTray.exe(360安全软件进程),找到该进程后调用TerminateProcess函数将其进程强行结束
2、设置本地时间为2004年,用ShellExecuteA函数调用cacls.exe给everyone 用户组对packet.dll pthreadVC.dll wpcap.dll npf.sys npptools.dll、wanpacket.dll acpidisk.sys 的完全控制代码如下:
"%System32%\packet.dll /e /p everyone:f
"%System32%\pthreadVC.dll /e /p everyone:f
"%System32%\wpcap.dll /e /p everyone:f"
"%System32%\drivers\npf.sys /e /p everyone:f"
"%System32%\npptools.dll /e /p everyone:f"
"%System32%\wanpacket.dll /e /p everyone:f"
"%System32%\drivers\acpidisk.sys /e /p everyone:f"
;C:\documents and settings\all users\「开始」菜单\程序\启动 /e /p everyone:f
3、释放病毒驱动文件beep.sys到%System32%\Drivers目录下,替换现有的驱动文件,创建驱动设置名:“\\.\RESSDTDOT”利用系统beep服务加载病毒文件,恢复SSDT躲避卡巴主动提示
4、遍历进程查找多款安全软件进程找到则调用TerminateProcess函数将其进程强行结束,被结束的进程为以下进程:
360safe.exe、360tray.exe、360rpt.exe、runiep.exe、rav.exe、rstray.exe、ccenter.exe、ravmon.exe、ravmond.exe、guardfield.exe、ravxp.exe、gfupd.exe、kmailmon.exe、kavstart.exe、kavpfw.exe、kwatch.exe、updaterui.exe、rfwsrv.exe、rfwproxy.exe、rfwstub.exe、ravstub.exe、rfwmain.exe、rfwmain.exe、bmon.exe、nod32kui.exe、nod32krn.exe、kasarp.exe、frameworkservice.exe、scan32.exe、vpc32.exe、vptray.exe、antiarp.exe、kregex.exe、kvxp.kxp、kvsrvxp.kxp、kvsrvxp.exe、kvwsc.exe、iparmor.exe、avp.exe、stskmgr.exe、esusafeguard.exe
并停止以下安全软件服务:
haredaccess、mcshield、kwhatchsvc、kpfwsvc、symantec antivirus、symantec antivirus drivers
services、symantec antivirus definition watcher、mcafee framework 服务、norton antivirus server
5、拷贝病毒自身到%System32%目录下与%System32%Dllcache目录下,调用iexplore.exe创建进程,调用FindWindows函数查找类名为"IEFrame" 窗口,申请内存空间,调用writeprocessmemory函数将病毒代码写入IEXPLORE.EXE连接网路执行下载
6、拷贝自身到%HomeDrive%下命名为:MSCL.PLF,在每个驱动器下创建AUTORUN.INF达到双击启动病毒目的,调用GetCursorPos函数获取光标位置、调用WindowFromPoint获取窗口句柄、调用GetWindowTextA获取当前窗口标签内容,检测当前窗口标题是否存在病毒预设的标题(多款安全软件标题),如发现则向该窗体发送消息将当前窗体关闭,将病毒自身属性设置为隐藏,病毒检测判断当前窗口标题是否存在以下标题:
安全卫士、专杀、NOD32、Process、进程、瑞星、木马、绿鹰、防御、微点、主动防御、防火墙、病毒、
Mcafee、检测、Firewall、virus、anti、金山、江民、worm、SREng、清理、超级巡警、卡巴斯基、杀毒,
检测到以上标题窗体,则发送关闭消息
7、衍生病毒文件到以下目录:
%System32%\drivers\beep.sys
%System32%\dllcache\wuauclt.exe
%System32%\wuauclt.exe
%System32%\crysstts.dll
%HomeDrive%\AUTORUN.INF
%HomeDrive%\MSCL.PIF
8、删除、修改、添加注册表启动项
HKEY_LOCAL_MACHINE\System\Currentcontrolset\Control\Safeboot\Minimal\{4d36e967-e325-11ce-bfc1-08002be10318}
HKEY_LOCAL_MACHINE\System\Currentcontrolset\Control\Safeboot\Network/{4d36e967-e325-11ce-bfc1-08002be10318}
描述:删除注册表项,破坏安全模式
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
新: DWORD: 1 (0x1)
旧: DWORD: 2 (0x2)
描述:修改注册表使查看系统隐藏文件选项失效
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\被劫持的进程名\Debugger
值: 字符串: "%System32%\dllcache\wuauclt.exe"
描述:添加映像劫持,劫持以下安全软件进程
360rpt.exe、360safe.exe、360tray.exe、360safe.exe、360safebox.exe、safeboxtray.exe、360safebox.exe、avp.exe、safeboxtray.exe、360safebox.exe、avp.comavp.exe、safeboxtray.exe、360safebox.exe、avmonitor.execcenter.exe、rstray.exe、icesword.exe、iparmor.exe、icesword.exe、kvmonxp.kxp、iparmor.exe、icesword.exekvsrvxp.exe、kvmonxp.kxp、iparmor.exe、icesword.exe、kvwsc.exe、navapsvc.exe、nod32kui.exe、nod32krn.exe、kregex.exe、frameworkservice.exe、mmsk.exe、ast.exe、mmsk.exe、woptilities.exeast.exemmsk.exe、regedit.exe、woptilities.exeast.exemmsk.exe、autorunkiller.exe、vpc32.exe、vptray.exe、antiarp.exevptray.exe、kasarp.exe、rav.exekasarp.exe、kwatch.exe、kmailmon.exe、kavstart.exe、kavpfw.exe、runiep.exe、guardfield.exe、gfupd.exe、rfwmain.exegfupd.exe、ravstub.exerfwmain.exegfupd.exe、rfwstub.exeravstub.exerfwmain.exegfupd.exe、rfwstub.exe、ravstub.exer、fwmain.exe、gfupd.exe、rfwproxy.exe、rfwsrv.exe、msconfig.exe、srengldr.exe、arswp.exe、rstray.exe、qqdoctor.exe、trojandetector.exe、rstray.exe、trojanwall.exe、trojdie.kxptrojanwall.exe、pfw.exe、trojdie.kxp、trojanwall.exe、hijackthis.exe、autorun.exe、hijackthis.exe
网络行为:
1、协议:TCP
端口:80
连接以下域名下载病毒文件:
http://88.llxsla****.com/1.exe
http://88.llxsla****.com/2.exe
http://88.llxsla****1.com/3.exe
http://88.llxsla****.com/4.exe
http://88.llxsla****.com/5.exe
http://88.llxsla****.com/6.exe
http://88.llxsla****.com/7.exe
http://88.llxsla****com/8.exe
http://88.llxsla****.com/9.exe
http://88.llxsla****.com/10.exe
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是%WINDOWS%\System
windowsXP中默认的安装路径是%system32%
四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)先打开Atool工具结束病毒进程(原病毒体进程名),删除以下病毒文件
%System32%\drivers\beep.sys
%System32%\dllcache\wuauclt.exe
%System32%\wuauclt.exe
%System32%\crysstts.dll
%HomeDrive%\AUTORUN.INF
%HomeDrive%\MSCL.PIF
(2)恢复注册表、删除病毒添加的注册表项:
HKEY_LOCAL_MACHINE\System\Currentcontrolset\Control\Safeboot\Minimal\{4d36e967-e325-11ce-bfc1-08002be10318}
HKEY_LOCAL_MACHINE\System\Currentcontrolset\Control\Safeboot\Network/{4d36e967-e325-11ce-bfc1-08002be10318}
将以上2个键值分别保存为2个TXT文本内并将后缀名改为REG,双击导入注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
新: DWORD: 1 (0x1)
旧: DWORD: 2 (0x2)
使用ATOOL工具恢复注册表旧值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\被劫持的进程名\Debugger
值: 字符串: "%System32%\dllcache\wuauclt.exe"
使用ATOOL工具删除Image File Execution Options键下的所有键值
页:
[1]