mirk 发表于 2008-3-19 09:45

Worm.Win32.AutoRun.cyh分析

毒标签:

病毒名称: Worm.Win32.AutoRun.cyh
病毒类型: 蠕虫
文件 MD5: 6994C1D484036067449C8E776F0F4EF9
公开范围: 完全公开
危害等级: 4
文件长度: 加壳后17,039 字节 脱壳后169,472字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++
加壳类型: WinUpack 0.37-0.39

病毒描述:

  该病毒为蠕虫病毒。该病毒运行后,衍生病毒文件到系统目录%system32%下;
并在每个逻辑盘符下衍生autorun.inf和病毒文件auto.exe,利用移动设备进行
传播;创建服务,达到随机启动的目的;锁定文件夹选项下的“不显示隐藏的文
件和文件夹”项,以隐藏病毒文件;删除报错服务,以防止病毒运行后使系统出
现错误时提示用户。连接网络下载大量病毒文件,由于病毒种类繁多,给用户清
理病毒带来极大的不便。

行为分析:
本地行为:

1、 文件运行后会释放以下文件:
    %DriveLetter%autorun.inf     78 字节
    %DriveLetter%auto.exe       17,039字节
    %System32%3C352CC8.EXE      17,039字节
    %System32%AFF1CD48.DLL      61,440 字节

2、创建病毒服务,随机启动运行病毒文件:

    [HKEY_LOCAL_MACHINE\SYSTEM
    \ControlSet001\Services\83F6EA98]
    注册表值: "ImagePath"
    类型: REG_SZ
    字符串: “C:\WINDOWS\system32\3C352CC8.EXE -k”
    描述:启动病毒服务文件的映像路径

    [HKEY_LOCAL_MACHINE\SYSTEM
    \ControlSet001\Services\83F6EA98]
    注册表值: "Description "
    类型: REG_SZ
    字符串: “AFF1CD48”
    描述:服务描述
    
    [HKEY_LOCAL_MACHINE\SYSTEM
    \ControlSet001\Services\83F6EA98]
    注册表值: "DisplayName"
    类型: REG_SZ
    字符串: “83F6EA98”
    描述:服务名

    [HKEY_LOCAL_MACHINE\SYSTEM
    \ControlSet001\Services\83F6EA98]
    注册表值: "Start"
    类型: DWORD
    值: 2 (0x2)
    描述:服务的启动方式为自动

3、修改注册表:
  
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows\CurrentVersion\Explorer\Advanced
    \Folder\Hidden\SHOWALL\CheckedValue]
    新建键值:DWORD: 0 (0)
    原键值:DWORD: 1 (0x1)
    描述:隐藏含有隐藏属性的病毒文件

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \PCHealth\ErrorReporting\DoReport]
    新建键值:DWORD: 0 (0)
    原键值:DWORD: 1 (0x1)
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \PCHealth\ErrorReporting\ShowUI]
    新建键值:DWORD: 0 (0)
    原键值:DWORD: 1 (0x1)
    描述:禁止显示错误报告

4、删除报错服务相关的注册表键值:

    [HKEY_LOCAL_MACHINE\SYSTEM
    \ControlSet001\Services\ERSvc]
    注册表值: "Description "
    类型: REG_SZ
    字符串: “服务和应用程序在非标准环境下运行时允许错误报告”
    描述:服务描述
    
    [HKEY_LOCAL_MACHINE\SYSTEM
    \ControlSet001\Services\ERSvc]
    注册表值: "DisplayName"
    类型: REG_SZ
    字符串: “Error Reporting Service”
    描述:服务名称

    [HKEY_LOCAL_MACHINE\SYSTEM
    \ControlSet001\Services\ERSvc]
    注册表值: "ImagePath"
    类型: REG_SZ
    字符串: “%SystemRoot%\System32
    \svchost.exe -k netsvcs”
    描述:启动服务的映像路径
    
    [HKEY_LOCAL_MACHINE\SYSTEM
    \ControlSet001\Services\ERSvc]
    注册表值: "Start"
    类型: DWORD
    值: 2 (0x2)
    描述:服务的启动方式为自动

网络行为:  
  
连接网络下载大量病毒文件,并在本机运行:

    http://222.73.26.* /e47e57844ef30ab4.exe
    病毒名:Worm.Win32.AutoRun.cyq

    http://222.73.247.***/mh.exe
    病毒名:Trojan-PSW.Win32.OnLineGames.tde

    http://222.73.247.***/qj.exe
    病毒名:Trojan.Win32.Vaklik.nb

    http://222.73.247.***/jr.exe
    病毒名:Trojan-PSW.Win32.OnLineGames.ucd

    http://222.73.247.***/huaxia.exe
    病毒名:Trojan-PSW.Win32.OnLineGames.sol

    http://222.73.247.***/qqsg.exe
    病毒名:Trojan-PSW.Win32.OnLineGames.som

    http://222.73.247.***/tl.exe
    病毒名:Trojan-PSW.Win32.OnLineGames.sbm

    http://222.73.254.**/my.exe
    病毒名:Trojan-PSW.Win32.OnLineGames.spx

    http://222.73.254.**/fh.exe
    病毒名:Trojan.Win32.Vaklik.ns

    http://222.73.254.**/zyhx.exe
    病毒名:Trojan-PSW.Win32.OnLineGames.suq

    http://61.129.45.***/zt.exe
    病毒名:Trojan-PSW.Win32.OnLineGames.udl

    http://61.129.45.***/dh2.exe
    病毒名:Trojan.Win32.Vaklik.mn

    http://220.189.255.**/wow.exe
    病毒名:Trojan-PSW.Win32.OnLineGames.scr

    http://220.189.255.**/wl.exe
    病毒名:Trojan-PSW.Win32.OnLineGames.ucj

    http://220.189.255.**/wd.exe
    病毒名:Trojan.Win32.KillAV.pg

    http://220.189.255.**/jh.exe
    病毒名:Trojan.Win32.Vaklik.nz

    http://220.189.255.**/zy.exe
    病毒名:Trojan-PSW.Win32.OnLineGames.sck

    http://220.189.255.**/dh3.exe
    病毒名:Trojan-PSW.Win32.OnLineGames.tow

注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
  
    %Windir%             WINDODWS所在目录
    %DriveLetter%          逻辑驱动器根目录
    %ProgramFiles%          系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%    当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%           系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32  
        

    

--------------------------------------------------------------------------------
清除方案:
1 、使用安天防线2008可彻底清除此病毒(推荐),
   请到安天网站下载:www.antiy.com 。 
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。  
    (1)使用ATOOL“进程管理”关闭病毒进程:
    (2)删除病毒文件:
     %DriveLetter%autorun.inf
     %DriveLetter%auto.exe
     %System32%3C352CC8.EXE
     %System32%AFF1CD48.DLL
    (3)删除病毒服务注册表项:
     [HKEY_LOCAL_MACHINE\SYSTEM
     \ControlSet001\Services\83F6EA98]
    (4)创建报错服务注册表相关键值,可以通过在其他一台正
      常机器也安装与你同样操作系统中导出报错服务的注册表项,
      拷贝至本机进行导入。
    (5)恢复注册表键:
     [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
     \Windows\CurrentVersion\Explorer
     \Advanced\Folder\Hidden\SHOWALL\]
     把CheckedValue值改为1,使用户可以选择
     “显示所有文件和文件夹”。
     [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
     \PCHealth\ErrorReporting\]
     把DoReport和ShowUI值都改为1,以显示错误报告。
页: [1]
查看完整版本: Worm.Win32.AutoRun.cyh分析