一、 病毒标签:
病毒名称: Worm.Win32.AutoRun.ekm
病毒类型: 蠕虫
文件 MD5: 493A917EBA76C506CD0C9F5933542D00
公开范围: 完全公开
危害等级: 4
文件长度: 38,550 字节
感染系统: Windows98以上版本
加壳类型: FSG 2.0 -> bart/xt [Overlay]
开发工具: Borland Delphi 6.0 - 7.0
二、 病毒描述:
该病毒为蠕虫类病毒,病毒运行后,调用API函数获取常用路径,查找当前标题为:“我的电脑”、“我的電腦”、“My Computer”的窗体,并向该窗口发送消息,创建互斥量、拷贝病毒自身%SYSTEM32%目录下,调用API启动病毒释放的文件,遍历进程查找QQ.exe、QQDoctor.exe、QQDoctorMain.exe,找到将其进程强行结束,调用CMD命令删除病毒自身,删除注册表项、使系统无法进入安全模式,修改注册表、使隐藏文件无法显示,并使用户无法更改文件夹选项、添加注册表病毒启动项,添加映像劫持、劫持大量安全软件及系统常用工具,使用了进程互相技术防止病毒进程被结束,连接网络下载恶意病毒文件。
三、 行为分析:
本地行为:
1、调用API函数FindWindowA获取常用路径,查找当前标题为:“我的电脑”、“我的電腦”、“My Computer”的窗体,使用PostMessageA函数向该窗口发送消息
2、文件运行后会释放以下文件
%system32%\uvaucd.exe
%system32%\sciony.exe
%system32%\musz1s.dll
%system32%\musz2s.dll
%system32%\nvshfq.dll
%system32%\nvshfq.nls
%system32%\uvaucd.inf
%HomeDrive%\sciony.exe
%HomeDrive%\autorun.inf
3、删除注册表、添加注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
值: DWORD: 1 (0x1)
描述:使用户无法更改文件夹选项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\@
值: 字符串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\@
值: 字符串: "DiskDrive"
描述:使系统无法进入安全模式
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
描述:使系统隐藏文件设置为不可见
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Type
新: 字符串: "checkbox2"
旧: 字符串: "checkbox"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\helpsvc\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\被劫持的软件名\Debugger
值: 字符串: "ntsd -d"
描述:添加映像劫持,被劫持的列表为:
360rpt.exe、360rpt.exe、360Safe.exe、360Safe.exe、360safebox.exe、360safebox.exe、360tray.exe、360tray.exe、adam.exe、adam.exe、AgentSvr.exe、AgentSvr.exe、AntiU.exe、AntiU.exe、AoYun.exe、AoYun.exe、appdllman.exe、appdllman.exe、AppSvc32.exe、AppSvc32.exe、ArSwp.exe、ArSwp.exe、AST.exe、AST.exe、auto.exe、auto.exe、AutoRun.exe、AutoRun.exe、autoruns.exe、autoruns.exe、av.exe、av.exe、AvastU3.exe、AvastU3.exe、avconsol.exe、avconsol.exe、avgrssvc.exe、avgrssvc.exe、AvMonitor.exe、AvMonitor.exe、avp.com、avp.com、avp.exe、avp.exe、AvU3Launcher.exe、AvU3Launcher.exe、CCenter.exe、CCenter.exe、ccSvcHst.exe、ccSvcHst.exe、cross.exe、cross.exe、Discovery.exe、Discovery.exe、EGHOST.exe、EGHOST.exe、FileDsty.exe、FileDsty.exe、FTCleanerShell.exe、FTCleanerShell.exe、FYFireWall.exe、FYFireWall.exe、ghost.exe、ghost.exe、guangd.exe、guangd.exe、HijackThis.exe、HijackThis.exe、IceSword.exe、IceSword.exe、iparmo.exe、iparmo.exe、Iparmor.exe、Iparmor.exe、irsetup.exe、irsetup.exe、isPwdSvc.exe、isPwdSvc.exe、kabaload.exe、kabaload.exe、KaScrScn.SCR、KaScrScn.SCR、KASMain.exe、KASMain.exe、KASTask.exe、KASTask.exe、KAV32.exe、KAV32.exe、KAVDX.exe、KAVDX.exe、KAVPF.exe、KAVPF.exe、KAVPFW.exe、KAVPFW.exe、KAVSetup.exe、KAVSetup.exe、KAVStart.exe、KAVStart.exe、kernelwind32.exe、kernelwind32.exe、KISLnchr.exe、KISLnchr.exe、kissvc.exe、kissvc.exe、KMailMon.exe、KMailMon.exe、KMFilter.exe、KMFilter.exe、KPFW32.exe、KPFW32.exe、KPFW32X.exe、KPFW32X.exe、KPfwSvc.exe、KPfwSvc.exe、KRegEx.exe、KRegEx.exe、KRepair.com、KRepair.com、KsLoader.exe、KsLoader.exe、KVCenter.kxp、KVCenter.kxp、KvDetect.exe、KvDetect.exe、KvfwMcl.exe、KvfwMcl.exe、KVMonXP.kxp、KVMonXP.kxp、KVMonXP_1.kxp、KVMonXP_1.kxp、kvol.exe、kvol.exe、kvolself.exe、kvolself.exe、KvReport.kxp、KvReport.kxp、KVScan.kxp、KVScan.kxp、KVSrvXP.exe、KVSrvXP.exe、KVStub.kxp、KVStub.kxp、kvupload.exe、kvupload.exe、kvwsc.exe、kvwsc.exe、KvXP.kxp、KvXP.kxp、KvXP_1.kxp、KvXP_1.kxp、KWatch.exe、KWatch.exe、KWatch9x.exe、KWatch9x.exe、KWatchX.exe、KWatchX.exe、loaddll.exe、loaddll.exe、logogo.exe、logogo.exe、MagicSet.exe、MagicSet.exe、mcconsol.exe、mcconsol.exe、mmqczj.exe、mmqczj.exe、mmsk.exe、mmsk.exe、Navapsvc.exe、Navapsvc.exe、Navapw32.exe、Navapw32.exe、NAVSetup.exe、NAVSetup.exe、niu.exe、niu.exe、nod32.exe、nod32.exe、nod32krn.exe、nod32krn.exe、nod32kui.exe、nod32kui.exe、NPFMntor.exe、NPFMntor.exe、pagefile.exe、pagefile.exe、pagefile.pif、pagefile.pif、PFW.exe、PFW.exe、PFWLiveUpdate.exe、PFWLiveUpdate.exe、QHSET.exe、QHSET.exe、QQDoctor.exe、QQDoctor.exe、QQDoctorMain.exe、QQDoctorMain.exe、QQKav.exe、QQKav.exe、QQSC.exe、QQSC.exe、Ras.exe、Ras.exe、Rav.exe、Rav.exe、RavMon.exe、RavMon.exe、RavMonD.exe、RavMonD.exe、RavStub.exe、RavStub.exe、RavTask.exe、RavTask.exe、RegClean.exe、RegClean.exe、regedit.exe、regedit.exe、regedit32.exe、regedit32.exe、rfwcfg.exe、rfwcfg.exe、rfwmain.exe、rfwmain.exe、rfwProxy.exe、rfwProxy.exe、rfwsrv.exe、rfwsrv.exe、RsAgent.exe、RsAgent.exe、Rsaupd.exe、Rsaupd.exe、rstrui.exe、rstrui.exe、runiep.exe、runiep.exe、safelive.exe、safelive.exe、scan32.exe、scan32.exe、ScanU3.exe、ScanU3.exe、SDGames.exe、SDGames.exe、SelfUpdate.exe、SelfUpdate.exe、servet.exe、servet.exe、shcfg32.exe、shcfg32.exe、SmartUp.exe、SmartUp.exe、sos.exe、sos.exe、SREng.EXE、SREng.EXE、SREngPS.EXE、SREngPS.EXE、symlcsvc.exe、symlcsvc.exe、SysSafe.exe、SysSafe.exe、TNT.Exe、TNT.Exe、TrojanDetector.exe、TrojanDetector.exe、Trojanwall.exe、Trojanwall.exe、TrojDie.kxp、TrojDie.kxp、TxoMoU.Exe、TxoMoU.Exe、UFO.exe、UFO.exe、UIHost.exe、UIHost.exe、UmxAgent.exe、UmxAgent.exe、UmxAttachment.exe、UmxAttachment.exe、UmxCfg.exe、UmxCfg.exe、UmxFwHlp.exe、UmxFwHlp.exe、UmxPol.exe、UmxPol.exe、upiea.exe、upiea.exe、UpLive.exe、UpLive.exe、USBCleaner.exe、USBCleaner.exe、vsstat.exe、vsstat.exe、webscanx.exe、webscanx.exe、WoptiClean.exe、WoptiClean.exe、Wsyscheck.exe、Wsyscheck.exe、XDelBox.exe、XDelBox.exe、XP.exe、XP.exe、zjb.exe、zjb.exe、zxsweep.exe、zxsweep.exe、~.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\sciony.exe
值: 字符串: "C:\WINDOWS\system32\sciony.exe"
描述:添加病毒注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\uvaucd.exe
值: 字符串: "%system32%\uvaucd.exe"
描述:添加病毒注册表启动项
4、遍历进程查找QQ.exe、QQDoctor.exe、QQDoctorMain.exe,找到以后调用TerminateProcess函数将其进程强行结束,使用CMD命令/c del删除病毒自身, 使用了进程互相技术防止病毒进程被结束
网络行为:
协议:TCP
端口:80
连接服务器名:http://a198921.cni****.cn
描述:连接该域名服务器下载恶意病毒文件,发送GET信息请求以下病毒文件:
GET /11.exe
GET /cs1.exe
GET /cs.exe
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是%WINDOWS%\System
windowsXP中默认的安装路径是%system32%
四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用ATOOL管理工具,“进程管理“,同时结束uvaucd.exe、 sciony.exe进程
(2) 强行删除病毒文件
%system32%\uvaucd.exe
%system32%\sciony.exe
%system32%\musz1s.dll
%system32%\musz2s.dll
%system32%\nvshfq.dll
%system32%\nvshfq.nls
%system32%\uvaucd.inf
%HomeDrive%\sciony.exe
%HomeDrive%\autorun.inf
(3)恢复注册表下的安全模式,将以下3个注册表键分别用记事本分别保存为后缀名为.reg的文件,双击导入即可 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\@
值: 字符串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\@
值: 字符串: "DiskDrive"
(4)恢复病毒修改的注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Type
新: 字符串: "checkbox2"
旧: 字符串: "checkbox"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\helpsvc\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
(5)删除注册表病毒启动项、删除注册表添加的映像劫持
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\sciony.exe
值: 字符串: "C:\WINDOWS\system32\sciony.exe"
删除run键下的病毒键sciony.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\uvaucd.exe
值: 字符串: "%system32%\uvaucd.exe"
删除run键下的病毒键uvaucd.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\被劫持的软件名\Debugger
值: 字符串: "ntsd -d"
删除Image File Execution Options键下的所有键值 |
|