找回密码
 注册创意安天

Worm.Win32.AutoRun.enw分析

[复制链接]
发表于 2008-9-1 17:06 | 显示全部楼层 |阅读模式
一、 病毒标签:
病毒名称: Worm.Win32.AutoRun.enw
病毒类型: 蠕虫类
文件 MD5: 95d052a6fdd3f92b42d571be0fe80892
公开范围: 完全公开
危害等级: 5
文件长度: 67,260 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: Upack V0.37-V0.39 -> Dwing [Overlay] *

二、 病毒描述:
病毒的图标为一个文件夹用来诱骗用户点击运行,病毒运行后释放ASUS.exe、ACER.exe、MuTemp.exe、jxxgmw.exe、jxxgmw.nls到system32文件夹下,其中ASUS.exe、ACER.exe、MuTemp.exe是病毒的副本文件,在病毒运行时同时被运行,实现进程互锁。jxxgmw.exe和jxxgmw.nls是病毒文件的备份;病毒在各磁盘分区创建autorun.inf和病毒文件,用以达到用U盘等移动存储设备传播的目的;病毒运行后释放beep.sys文件,加载此文件,创建系统服务用来恢复系统的ssdt以此来关闭杀毒软件的主动防御;病毒修改、删除注册表项,使隐藏文件无法显示,并使用户无法更改文件夹选项。病毒添加注册表,添加自启动项,添加大量的映像劫持项,用来禁止系统工具如注册表编辑器、杀毒软和其他安全工具的运行;病毒连接网络更新自身;病毒运行后自删除。

三、 行为分析:
本地行为:
1、文件运行后会释放以下文件
%DriveLetter%\ASUS.exe              67,260 字节
%DriveLetter%\autorun.inf          145 字节
%HomeDrive%\ASUS.exe             67,260 字节
%HomeDrive%\autorun.inf     145 字节
%System32%\ASUS.exe     67,260 字节
%System32%\ACER.exe     67,260 字节
%System32%\MuTemp.exe     67,260 字节
%System32%\jxxgmw.exe     67,260 字节
%System32%\jxxgmw.nls     67,260 字节
以下两个文件为系统文件UrlMon.dll,被病毒更改名称为:
%System32%\musz1s.dll     594,432 字节
%System32%\musz2s.dll     594,432 字节
2、进程互锁
病毒同时运行2个文件副本ASUS.exe和ACER.exe,当结束其中一个的时候,立即刷新另一个进程重新运行病毒副本,用剩下进程加载另一个文件,实现进程互锁。
3、病毒在各磁盘根目录下建立病毒文件ASUS.exe和autorun.inf文件,实现双击盘符时运行病毒,及移动存储设备传播的目的,autorun.inf内容如下:
[AutoRun]
shell\open=打开(&O)
shell\open\Command=ASUS.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=ASUS.exe
4、还原ssdt
病毒加载beep.sys文件用其还原系统ssdt使杀毒软件的主动防御失效,并将其添加到服务当中,是系统每次重新启动都会加载次驱动,实现杀毒软件的永久失效。
5、删除注册表项,破坏安全模式
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\@]
键值: 字符串: "DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\@]
键值: 字符串: "DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\@]
键值: 字符串: "DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\@]
键值: 字符串: "DiskDrive"
6、通过修改注册表隐藏文件[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue]
键值: DWORD: 1 (0x1)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden]
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Type]
新: 字符串: "checkbox2"
旧: 字符串: "checkbox"
7、添加启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run]
键值: ACER.exe
字符串: "C:\WINDOWS\system32\ACER.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run]
键值: ASUS.exe
字符串: "C:\WINDOWS\system32\ASUS.exe"
[HKLM\System\CurrentControlSet\Services]   
项:RESSDT     
符串:c:\windows\system32\drivers\beep.sys
8、映像劫持
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe]
注册表值: "Debugger"
类型: REG_SZ
值: "ntsd -d"
同时劫持的字串有:
360rpt.exe
360Safe.exe
360safebox.exe
360tray.exe
adam.exe
AgentSvr.exe
AntiU.exe
AoYun.exe
appdllman.exe
AppSvc32.exe
ArSwp.exe
AST.exe
auto.exe
AutoRun.exe
autoruns.exe
av.exe
AvastU3.exe
avconsol.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
AvU3Launcher.exe
CCenter.exe
ccSvcHst.exe
Cleanup.dll
cqw32.exe
cross.exe
Discovery.exe
divx.dll
divxdec.ax
DJSMAR00.dll
DRMINST.dll
EGHOST.exe
EncodeDivXExt.dll
EncryptPatchVer.dll
FileDsty.exe
FTCleanerShell.exe
fullsoft.dll
FYFireWall.exe
GBROWSER.DLL
ghost.exe
guangd.exe
HijackThis.exe
htmlmarq.ocx
htmlmm.ocx
IceSword.exe
iparmo.exe
Iparmor.exe
irsetup.exe
ishscan.dll
isPwdSvc.exe
ISSTE.dll
javai.dll
jvm_g.dll
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPF.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
kernelwind32.exe
KISLnchr.exe
kissvc.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPfwSvc.exe
KRegEx.exe
KRepair.com
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
等,其中包括系统工具、各杀毒软件和安全工具。
网络行为:
病毒连接网络,更新自身
连接地址:60.190.253.***
病毒运行后向远程计算机60.190.253.***发送请求,要求更新病毒程序,当对比发现本地病毒版本较低时,从远程计算机下载新版本病毒。
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp%  = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\      WINDODWS所在目录
%DriveLetter%\   逻辑驱动器根目录
%ProgramFiles%\   系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录
四、 清除方案:
1、使用安天防线2008可彻底清除此病毒(推荐)。
推荐使用ATool(安天安全管理工具),ATool下载地址:www.antiy.com
http://www.antiy.com/download/index.htm
(1)使用atool结束病毒进程ASUS.exe,ACER.exe。(注意:由于进程互锁的原因,要一起结束所有运行的病毒进程。)
(2) 删除病毒文件
%DriveLetter%\ASUS.exe              67,260 字节
%DriveLetter%\autorun.inf          145 字节
%HomeDrive%\ASUS.exe             67,260 字节
%HomeDrive%\autorun.inf     145 字节
%System32%\ASUS.exe     67,260 字节
%System32%\ACER.exe     67,260 字节
%System32%\MuTemp.exe     67,260 字节
%System32%\jxxgmw.exe     67,260 字节
%System32%\jxxgmw.nls     67,260 字节
%System32%\musz1s.dll     594,432 字节
%System32%\musz2s.dll     594,432 字节
(3) 从其他XP系统的机器上拷贝文件UrlMon.dll放到%System32%目录下。
(4) 恢复注册表
1.用注册表工具删除以下注册表项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run]
键值: ACER.exe
字符串: "C:\WINDOWS\system32\ACER.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run]
键值: ASUS.exe
字符串: "C:\WINDOWS\system32\ASUS.exe"
[HKLM\System\CurrentControlSet\Services]   
项:RESSDT     
符串:c:\windows\system32\drivers\beep.sys
2.将一下项目导入到注册表中:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D 36E967-E325-11CE-BFC1-08002BE10318}\@]
键值: 字符串: "DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\@]
键值: 字符串: "DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\@]
键值: 字符串: "DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\@]
键值: 字符串: "DiskDrive"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue]
键值: DWORD: 1 (0x1)
3.将一下键值改回原键值:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden]
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Type]
新: 字符串: "checkbox2"
旧: 字符串: "checkbox"
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-18 02:50

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表