Worm/Win32.AutoRun.dld分析

一、病毒标签：
病毒名称： Worm/Win32.AutoRun.dld
病毒类型： 蠕虫类
文件 MD5： E15D30C30B80FA6A7FA0A0A6DC38B87A
公开范围： 完全公开
危害等级： 4
文件长度： 28,000 字节
感染系统： Windows98以上版本
开发工具： Borland Delphi 6.0 - 7.0
加壳类型： WinUpack 0.39 final
       
二、病毒描述：
       
该病毒为蠕虫类，病毒运行后复制自身到系统目录，并重命名为svchost.exe，并删除自身。修改注册表，添加启动项，以达到随机启动的目的。 以病毒副本进程连接网络下载病毒文件KB930.vxd，并且回传用户信息。在注册表中添加大量映像劫持项，以反制杀软及安全程序。该病毒还尝试感染非系统目录下的exe文件,添加新的区块.xue，写入病毒代码。
       
三、行为分析：
1、 文件运行后会衍生以下文件
%WinDir%\Fonts\3e561cba2ae2b8ec95d86f3cf009aabe\system\svchost.exe

2、 新建注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
注册表值：" TBMExe "
类型： REG_SZ
值： "C:\WINDOWS\Fonts\3e561cba2ae2b8ec95d86f3cf009aabe\system\svchost.exe"
描述：添加启动项，以达到随机启动的目的
               
3、 在注册表中添加映像劫持项Image File Execution Options，劫持到c:\xue.exe（此文件不存在）；以反制杀毒软件及各种安全程序，具体名称如下表：

360rpt.exe
360Safe.exe
360tray.exe
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE       
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
CLAW95CF.EXE
CLEANER.EXE
CLEANER3.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
EGHOST.EXE
ESAFE.EXE
EXPWATCH.EXE
F-AGNT95.EXE
F-PROT.EXE
F-PROT95.EXE       
F-STOPW.EXE
FESCUE.EXE
FINDVIRU.EXE
FP-WIN.EXE
FPROT.EXE
FRW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
IOMON98.EXE
Iparmor.exe
JEDI.EXE
KAV32.exe
KAVPFW.EXE
KAVsvc.exe       
KAVSvcUI.exe
KVFW.EXE
KVMonXP.exe
KVMonXP.kxp
KVSrvXP.exe
KVwsc.exe
KvXP.kxp
KWatchUI.EXE
LOCKDOWN2000.EXE
Logo1_.exe
Logo_1.exe
LOOKOUT.EXE
LUALL.EXE
MAILMON.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCANW.EXE
Navapsvc.exe
Navapw32.exe
NAVLU32.EXE
NAVNT.EXE
navw32.EXE       
NISUM.EXE
NAVWNT.EXE
NMain.exe
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
PAVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
PFW.EXE
Rav.exe
RAV7.EXE
RAV7WIN.EXE
RAVmon.exe
RAVmonD.exe
RAVtimer.exe
Rising.exe
SAFEWEB.EXE
SCAN32.EXE       
SCANPM.EXE
SCAN95.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
THGUARD.EXE
TrojanHunter.exe
VET95.EXE
VETTRAY.EXE
VSCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE

4、感染非系统目录下的exe可很执行文件,在被感染的exe文件中添加.xue节，写入病毒代码，修改文件映像大小与节数量；并且保存原文件入口点后，将入口点改为病毒入口点。


网络行为:

1、病毒进程连接网络下载文件：a.05916**.com:666/xin.jpg，此文件下载到本机后复制到%WinDir%\Fonts\3e561cba2ae2b8ec95d86f3cf009aabe\system目录下并重命名为KB930.vxd。
               
2、连接网络回传用户信息，回传网址与格式如下：
网址：www.198cj**.com/count/count.asp
格式（%s代表具体的相关信息）：mac=%s &ver=%s &user=%s &pc=%s &md5=%s
       
       
注释：
%Windir%                                           WINDODWS所在目录
%DriveLetter%                                逻辑驱动器根目录
%ProgramFiles%                                系统程序默认安装目录
%HomeDrive%                                  当前启动系统所在分区
%Documents and Settings%        当前用户文档根目录
%Temp%                                                当前用户TEMP缓存变量；路径为：
%Documents and Settings%\当前用户\Local Settings\Temp
%System32%                                        是一个可变路径；
病毒通过查询操作系统来决定当前System32文件夹的位置；
Windows2000/NT中默认的安装路径是　C:\Winnt\System32；
Windows95/98/Me中默认的安装路径是　C:\Windows\System；
WindowsXP中默认的安装路径是　C:\Windows\System32。
       
四、 清除方案：
1、使用安天防线可彻底清除此病毒(推荐)，请到安天网站下载：www.antiy.com 。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程
%WinDir%\Fonts\3e561cba2ae2b8ec95d86f3cf009aabe\system\svchost.exe
(2) 强行删除病毒文件
%WinDir%\Fonts\3e561cba2ae2b8ec95d86f3cf009aabe\system\svchost.exe
%WinDir%\Fonts\3e561cba2ae2b8ec95d86f3cf009aabe\system\KB930.vxd
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
注册表值：" TBMExe "
类型： REG_SZ
值： "C:\WINDOWS\Fonts\3e561cba2ae2b8ec95d86f3cf009aabe\system\svchost.exe"
(4) 删除注册表中添加的映像劫持项