Worm.Win32.AutoRun.bem分析

一、病毒标签：
病毒名称： Worm.Win32.AutoRun.bem
中文名称： ani寄生虫
病毒类型： 蠕虫类
文件 MD5： A08D91C12844A20171211E7A74B5752B
公开范围： 完全公开
危害等级： 4
文件长度： 28,000字节
感染系统： Windows98以上版本
开发工具： Borland Delphi 6.0 - 7.0
加壳类型： Upack 0.3.9 beta2s

二、病毒描述：

该病毒为蠕虫类，病毒运行后复制自身到系统目录，衍生病毒文件，并删除自身。 修改注册表，添加启动项，以达到随机启动的目的。添加映像劫持项，劫持众多计算机安全相关软件。感染非系统盘符下的大部分exe文件，感染方式是在文件尾部加一个.ani节，将病毒信息写入其中，入口点改为病毒运行入口点等。连接网络下载病毒文件并回传收集到的计算机MAC、系统版本等信息。

三、行为分析：

本地行为:
1、 文件运行后会衍生以下文件
（1）%WinDir%\Fonts\system\ati2evxx.exe 28,000字节
(2) 在各个逻辑驱动器根目录下衍生autorun.inf及其对应的执行文件ntldr.exe
%DriveLetter%\autorun.inf
%DriveLetter%\ntldr.exe
2、 新建注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
注册表值："TBMonEx"
类型： REG_SZ
值： " C:\WINDOWS\Fonts\system\ati2evxx.exe"
描述：添加启动项，以达到随机启动的目的
3、添加映像劫持项，劫持众多计算机安全相关软件，劫持到C:\WINDOWS\Fonts\system\ati2evxx.exe
被劫持的文件：
360rpt.exe
360Safe.exe
360tray.exe
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
CLAW95CF.EXE
CLEANER.EXE
CLEANER3.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
EGHOST.EXE
ESAFE.EXE
EXPWATCH.EXE
F-AGNT95.EXE
F-PROT.EXE
F-PROT95.EXE
F-STOPW.EXE
FESCUE.EXE
FINDVIRU.EXE
FP-WIN.EXE
FPROT.EXE
FRW.EXE
IAMAPP.EXE
IAMSERV.EXE
RAVmonD.exe
IBMASN.EXE IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
IOMON98.EXE
Iparmor.exe
JEDI.EXE
KAV32.exe
KAVPFW.EXE
KAVsvc.exe
KAVSvcUI.exe
KVFW.EXE
KVMonXP.exe
KVMonXP.kxp
KVSrvXP.exe
KVwsc.exe
KvXP.kxp
KWatchUI.EXE
LOCKDOWN2000.EXE
Logo1_.exe
Logo_1.exe
LOOKOUT.EXE
LUALL.EXE
MAILMON.EXE MOOLIVE.EXE
MPFTRAY.EXE
N32SCANW.EXE
Navapsvc.exe
Navapw32.exe
NAVLU32.EXE
NAVNT.EXE
navw32.EXE
NAVWNT.EXE
NISUM.EXE
NMain.exe
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
PAVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
PFW.EXE
Rav.exe
RAV7.EXE
RAV7WIN.EXE
RAVmon.exe
RAVtimer.exe
Rising.exe SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
THGUARD.EXE
TrojanHunter.exe
VET95.EXE
VETTRAY.EXE
VSCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE
修复工具.exe
4、感染非系统盘符下的大部分exe文件，感染方式：在文件尾部加一个.ani节，将病毒信息写入其中，原入口点写入.ani节中进行保存，入口点改为病毒运行入口，修改节表与映像大小等信息。
网络行为:
1、以进程ati2evxx.exe连接网络：69.64.147.*:666，下载病毒文件并回传信息。

注释：
%Windir%        WINDODWS所在目录
%DriveLetter%    逻辑驱动器根目录
%ProgramFiles%    系统程序默认安装目录
%HomeDrive%      当前启动系统所在分区
%Documents and Settings% 当前用户文档根目录
%Temp%      当前用户TEMP缓存变量；路径为：
%Documents and Settings%\当前用户\Local Settings\Temp
%System32%     是一个可变路径；
病毒通过查询操作系统来决定当前System32文件夹的位置；
Windows2000/NT中默认的安装路径是　C:\Winnt\System32；
Windows95/98/Me中默认的安装路径是　C:\Windows\System；
WindowsXP中默认的安装路径是　C:\Windows\System32。

四、 清除方案：
1、使用安天防线可彻底清除此病毒(推荐)，请到安天网站下载：www.antiy.com 。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程
C:\WINDOWS\Fonts\system\ati2evxx.exe

(2) 强行删除病毒文件
%WinDir%\Fonts\system\ati2evxx.exe 28,000字节
%DriveLetter%\autorun.inf
%DriveLetter%\ntldr.exe
(3)删除病毒添加的注册表项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
注册表值："TBMonEx"
类型： REG_SZ
值： " C:\WINDOWS\Fonts\system\ati2evxx.exe"
  (4) 清除映像劫持下病毒添加的注册表项
  (5）使用AVLPK安天终级专杀工具可彻底清除该病毒及修复其感染的正常文件