Worm.Win32.AutoRun.doc分析
一、 病毒标签:病毒名称: Worm.Win32.AutoRun.doc
病毒类型: 蠕虫
文件 MD5:476F8BA41F54238BA132DEC7B6C0B183
公开范围: 完全公开
危害等级: 4
文件长度: 9,032 字节
感染系统: Windir98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: WinUpack 0.39 final -> By Dwing
二、 病毒描述:
该病毒属蠕虫类, 判断自己是否是在系统盘下的MSDOS.bat,如果是则将系统盘目录打开,创建目录%Windir%\Tasks,将自身复制到该目录下,
判断“%Windir%\Tasks”目录下是否存在0x01xx8p.exe文件,如存在则将其删除,判断当前进程是否存在“avp.exe”,如找到则将系统时间修改
为2004年1月1日,复制自身到%HomeDrive%\spoolsv.exe,%Windir%\Tasks\spoolsv.ext ,%Windir%\Tasks\SysFile.brk,并删除自身文件.感染
explorer.exe,先在%Windir%\tasks\释放被感染的explorer.ext 然后再保存到%Windir%\explorer.exe,将要感染的病毒代码赋值到缓存,将被感染
文件的最后一个节改名为.WYCao,注入被感染代码和自身病毒体,感染成功后替换原文件,遍历进程判断是否存在如下进程, avp.exe, kvsrvxp.exe,
kissvc.exe,如果存在的话则强制结束.感染xml/cgi/jsp/php/aspx/asp/shtml/shtm/html/htm文件,删除磁盘现有的所有.gho文件。感染系统目录以外
的scr/com/cmd/bat/exe.文件,遍历固定磁盘和可移动磁盘,在各个分区根目录下创建隐藏的系统属性文件autorun.inf和MSDOS.BAT.利用
autorun.inf文件特性,使用户双击盘符就会自动运行病毒,隐藏开启IExplore.exe进程连接网络下载大量病毒文件,经分析下载的大量病毒文件多
为盗号木马,使用户的网络虚拟财产遭受损失。
三、 行为分析:
本地行为:
1、释放病毒文件到以下目录:
%Windir%\Tasks\0x01xx8p.exe 9,032 字节
%Windir%\Tasks\spoolsv.ext
%Windir%\Tasks\SysFile.brk 57,856 字节
2、判断自己是否是在系统盘下的MSDOS.bat,如果是的话会将系统盘目录打开,创建目录%Windir%\Tasks,
将自身复制到该目录下,判断“%Windir%\Tasks”目录下是否存在0x01xx8p.exe文件,如存在则将其删除,
判断当然进程是否存在“avp.exe”,如找到则将系统时间修改为2004年1月1日。
3、感染explorer.exe,先在%Windir%\tasks\释放被感染的explorer.ext 然后再保存到%Windir%\explorer.exe,
将要感染的病毒代码赋值到缓存,将被感染文件的最后一个节改名为.WYCao,注入被感染代码和自身病毒体
,感染成功后替换原文件。
4、遍历进程判断是否存在如下进程, avp.exe, kvsrvxp.exe, kissvc.exe,如果存在的话则强制结束.感染
xml/cgi/jsp/php/aspx/asp/shtml/shtm/html/htm文件,删除磁盘现有的所有.gho文件。感染系统目录以外
的scr/com/cmd/bat/exe.文件。
5、在各个分区根目录下创建隐藏的系统属性文件autorun.inf和MSDOS.BAT.利用autorun.inf文件特性,使用
户双击盘符就会自动运行病毒,隐藏开启IExplore.exe进程连接http://444.er18.com/config.txt 下载大量病毒文件。
网络行为:
协议:TCP
端口:80
连接服务器名:http://444.e***.com/config.txt
IP地址:59.53.88.149
描述:连接服务器读取TXT列表内容下载病毒,读取的列表内容:
Random:
6287
Down:
http://444.kuk****.com/0/0.exe*
http://444.kuk****.com/0/1.exe*
http://444.kuk****.com/0/2.exe*
http://444.kuk****.com/0/3.exe*
http://444.kuk****.com/0/4.exe*
http://444.kuk****.com/0/5.exe*
http://444.kuk****.com/0/6.exe*
http://www.kuk****.com/0/7.exe*
http://444.kuk****.com/0/8.exe*
http://444.kuk****.com/0/9.exe*
http://444.kuk****.com/0/10.exe*
http://444.kuk****.com/0/11.exe*
http://444.kuk****.com/0/12.exe*
http://444.kuk****.com/0/13.exe*FlipWEB:
*
SendGet:
*
InfeWeb:
*
NetBiosInfe:
1*
HDInfe:
0*
InfeExe:
0*
RemovInfe:
1*
RemovableDrive:
1*
FixedDrive:
1*
ReadTime:
50*
OpenSys:
1*
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windir2000/NT中默认的安装路径是C:\Winnt\System32
Windir95/98/me中默认的安装路径是C:\Windir\System
WindirXP中默认的安装路径是%system32%
四、 清除方案:
1、使用安天防线2008可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用ATOOL进程管理结束explorer.exe进程。复制%system32%\dllcache目录下的explorer.exe文件替
换%Windir%目录下的explorer.exe文件
(2) 强行删除病毒衍生的病毒文件
%Windir%\Tasks\0x01xx8p.exe
%Windir%\Tasks\spoolsv.ext
%Windir%\Tasks\SysFile.brk
%HomeDrive%\MSDOS.bat
%HomeDrive%\autorun.inf
%DriveLetter%\MSDOS.bat
%DriveLetter%\autorun.inf
(3) 强行删除病毒衍生的病毒文件
(注:该病毒下载的病毒列表可能会随时变化)
%system32%\config\mscg13.exe
%system32%\drivers\2h9k6qwl.sys
%system32%\drivers\bs2pmzbdm.sys
%system32%\fo18.dll
%system32%\2.ext
%system32%\inf\mscg13.exe
%system32%\3.ext
%system32%\ThunderBHONew14.dll
%system32%\4.ext
%system32%\2ba.dll
%system32%\b79a.dll
%system32%\79e7a.exe
%WINDIR\MayaGirl\MayaGirlMain.exe
%WINDIR\033.exe
%WINDIR\f9a.bmp
%WINDIR\91ba.exe
%WINDIR\1b60a.txt
页:
[1]