Worm.Win32.AutoRun.cyh分析
毒标签:病毒名称: Worm.Win32.AutoRun.cyh
病毒类型: 蠕虫
文件 MD5: 6994C1D484036067449C8E776F0F4EF9
公开范围: 完全公开
危害等级: 4
文件长度: 加壳后17,039 字节 脱壳后169,472字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++
加壳类型: WinUpack 0.37-0.39
病毒描述:
该病毒为蠕虫病毒。该病毒运行后,衍生病毒文件到系统目录%system32%下;
并在每个逻辑盘符下衍生autorun.inf和病毒文件auto.exe,利用移动设备进行
传播;创建服务,达到随机启动的目的;锁定文件夹选项下的“不显示隐藏的文
件和文件夹”项,以隐藏病毒文件;删除报错服务,以防止病毒运行后使系统出
现错误时提示用户。连接网络下载大量病毒文件,由于病毒种类繁多,给用户清
理病毒带来极大的不便。
行为分析:
本地行为:
1、 文件运行后会释放以下文件:
%DriveLetter%autorun.inf 78 字节
%DriveLetter%auto.exe 17,039字节
%System32%3C352CC8.EXE 17,039字节
%System32%AFF1CD48.DLL 61,440 字节
2、创建病毒服务,随机启动运行病毒文件:
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\83F6EA98]
注册表值: "ImagePath"
类型: REG_SZ
字符串: “C:\WINDOWS\system32\3C352CC8.EXE -k”
描述:启动病毒服务文件的映像路径
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\83F6EA98]
注册表值: "Description "
类型: REG_SZ
字符串: “AFF1CD48”
描述:服务描述
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\83F6EA98]
注册表值: "DisplayName"
类型: REG_SZ
字符串: “83F6EA98”
描述:服务名
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\83F6EA98]
注册表值: "Start"
类型: DWORD
值: 2 (0x2)
描述:服务的启动方式为自动
3、修改注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\Advanced
\Folder\Hidden\SHOWALL\CheckedValue]
新建键值:DWORD: 0 (0)
原键值:DWORD: 1 (0x1)
描述:隐藏含有隐藏属性的病毒文件
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\PCHealth\ErrorReporting\DoReport]
新建键值:DWORD: 0 (0)
原键值:DWORD: 1 (0x1)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\PCHealth\ErrorReporting\ShowUI]
新建键值:DWORD: 0 (0)
原键值:DWORD: 1 (0x1)
描述:禁止显示错误报告
4、删除报错服务相关的注册表键值:
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\ERSvc]
注册表值: "Description "
类型: REG_SZ
字符串: “服务和应用程序在非标准环境下运行时允许错误报告”
描述:服务描述
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\ERSvc]
注册表值: "DisplayName"
类型: REG_SZ
字符串: “Error Reporting Service”
描述:服务名称
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\ERSvc]
注册表值: "ImagePath"
类型: REG_SZ
字符串: “%SystemRoot%\System32
\svchost.exe -k netsvcs”
描述:启动服务的映像路径
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\ERSvc]
注册表值: "Start"
类型: DWORD
值: 2 (0x2)
描述:服务的启动方式为自动
网络行为:
连接网络下载大量病毒文件,并在本机运行:
http://222.73.26.* /e47e57844ef30ab4.exe
病毒名:Worm.Win32.AutoRun.cyq
http://222.73.247.***/mh.exe
病毒名:Trojan-PSW.Win32.OnLineGames.tde
http://222.73.247.***/qj.exe
病毒名:Trojan.Win32.Vaklik.nb
http://222.73.247.***/jr.exe
病毒名:Trojan-PSW.Win32.OnLineGames.ucd
http://222.73.247.***/huaxia.exe
病毒名:Trojan-PSW.Win32.OnLineGames.sol
http://222.73.247.***/qqsg.exe
病毒名:Trojan-PSW.Win32.OnLineGames.som
http://222.73.247.***/tl.exe
病毒名:Trojan-PSW.Win32.OnLineGames.sbm
http://222.73.254.**/my.exe
病毒名:Trojan-PSW.Win32.OnLineGames.spx
http://222.73.254.**/fh.exe
病毒名:Trojan.Win32.Vaklik.ns
http://222.73.254.**/zyhx.exe
病毒名:Trojan-PSW.Win32.OnLineGames.suq
http://61.129.45.***/zt.exe
病毒名:Trojan-PSW.Win32.OnLineGames.udl
http://61.129.45.***/dh2.exe
病毒名:Trojan.Win32.Vaklik.mn
http://220.189.255.**/wow.exe
病毒名:Trojan-PSW.Win32.OnLineGames.scr
http://220.189.255.**/wl.exe
病毒名:Trojan-PSW.Win32.OnLineGames.ucj
http://220.189.255.**/wd.exe
病毒名:Trojan.Win32.KillAV.pg
http://220.189.255.**/jh.exe
病毒名:Trojan.Win32.Vaklik.nz
http://220.189.255.**/zy.exe
病毒名:Trojan-PSW.Win32.OnLineGames.sck
http://220.189.255.**/dh3.exe
病毒名:Trojan-PSW.Win32.OnLineGames.tow
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
--------------------------------------------------------------------------------
清除方案:
1 、使用安天防线2008可彻底清除此病毒(推荐),
请到安天网站下载:www.antiy.com 。
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用ATOOL“进程管理”关闭病毒进程:
(2)删除病毒文件:
%DriveLetter%autorun.inf
%DriveLetter%auto.exe
%System32%3C352CC8.EXE
%System32%AFF1CD48.DLL
(3)删除病毒服务注册表项:
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\83F6EA98]
(4)创建报错服务注册表相关键值,可以通过在其他一台正
常机器也安装与你同样操作系统中导出报错服务的注册表项,
拷贝至本机进行导入。
(5)恢复注册表键:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer
\Advanced\Folder\Hidden\SHOWALL\]
把CheckedValue值改为1,使用户可以选择
“显示所有文件和文件夹”。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\PCHealth\ErrorReporting\]
把DoReport和ShowUI值都改为1,以显示错误报告。
页:
[1]