病毒名称: Virus.Win32.Virut.n
病毒类型: 病毒类
文件 MD5: 34D360D7A178F8D9CF9E2A8D6A93B536
公开范围: 完全公开
危害等级: 5
文件长度: 40,221 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: 伪装为Borland Delphi v3.0的FSG 2.0变形壳
病毒描述:
病毒运行后,复制自身到各驱动器根目录下(除系统盘根目录)并衍生配置
文件,实现双击盘幅运行病毒。在%ProgramFiles%目录和部分附属目录下复制自
身并衍生病毒文件;修改注册表,添加启动项,对大量反病毒工具和软件映像劫持,
锁定对隐藏文件的显示,使用户无法通过文件夹选项显示隐藏文件;禁用系统防火
墙服务、自动更新服务、入侵保护服务、帮助服务;删除注册表中安全模式启动需
要加载的驱动文件,使用户无法进入安全模式;开启自动播放功能,感染连接到中
毒机器的移动磁盘;该病毒会自动关闭标题栏中含有指定字符的窗口或文件;该病
毒主要通过移动磁盘进行传播。
行为分析:
本地行为:
1、文件运行后会释放以下文件:
%DriveLetter%\autorun.inf
%DriveLetter%\.exe
%ProgramFiles%\.inf
%ProgramFiles%\meex.exe
%ProgramFiles%\Common Files\System\.exe
%ProgramFiles%\Common Files\Microsoft Shared\.exe
2、新建注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run]
注册表值: "@"
类型: REG_SZ
值: "C:\Program Files\Common Files\System\.exe"
描述: 启动项,使病毒文件在当该系统的所有用户登陆该系统时,
运行病毒文件。
3、新增注册表,添加映像劫持项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows NT\CurrentVersion\
Image File Execution Options\被映像劫持的文件名称
注册表值: "Debugger"
类型: REG_SZ
值:"C:\Program Files\Common Files\Microsoft Shared\.exe"
描述: 映像劫持项,当系统执行被映像劫持的文件名称时,
将不执行该文件,而是执行映像文件。
被映像劫持的文件名称列表如下:
360rpt.exe、360Safe.exe、360tray.exe、
adam.exe、AgentSvr.exe、AppSvc32.exe、
ArSwp.exe、AST.exe、autoruns.exe、
avconsol.exe、avgrssvc.exe、AvMonitor.exe、
avp.com、avp.exe、CCenter.exe、ccSvcHst.exe、
EGHOST.exe、FileDsty.exe、FTCleanerShell.exe、
FYFireWall.exe、HijackThis.exe、IceSword.exe、
iparmo.exe、Iparmor.exe、isPwdSvc.exe、
isPwdSvc.exe、kabaload.exe、KaScrScn.SCR、
KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、
KAVPF.exe、KAVPFW.exe、KAVSetup.exe、KAVStart.exe、
KISLnchr.exe、KMailMon.exe、KMFilter.exe、
KPFW32.exe、KPFW32X.exe、KPfwSvc.exe、KRegEx.exe、
KRepair.com、KsLoader.exe、KVCenter.kxp、
KvDetect.exe、KvfwMcl.exe、KVMonXP.kxp、
KVMonXP_1.kxp、kvol.exe、kvolself.exe、
KvReport.kxp、KVScan.kxp、KVSrvXP.exe、
KVStub.kxp、kvupload.exe、kvwsc.exe、
KvXP.kxpKvXP_1.kxp、KWatch.exe、KWatch9x.exe、
KWatchX.exe、loaddll.exe、MagicSet.exe、
mcconsol.exe、mmqczj.exe、mmsk.exe、Navapsvc.exe、
Navapw32.exe、nod32.exe、nod32krn.exe、nod32kui.exe、
NPFMntor.exe、PFW.exe、PFWLiveUpdate.exe、QHSET.exe、
QQDoctor.exe、QQKav.exe、Ras.exe、Rav.exe、
RavMon.exe、RavMonD.exe、RavStub.exe、RavTask.exe、
RegClean.exe、rfwcfg.exe、rfwmain.exe、rfwsrv.exe、
RsAgent.exe、Rsaupd.exe、rstrui.exe、runiep.exe、
safelive.exe、scan32.exe、shcfg32.exe、SmartUp.exe、
SREng.EXE、symlcsvc.exe、SysSafe.exe、
TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、
UIHost.exe、UmxAgent.exe、UmxAttachment.exe、
UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、upiea.exe、
UpLive.exe、USBCleaner.exe、vsstat.exe、
webscanx.exe、WoptiClean.exe
4、修改注册表,锁定隐藏文件的显示,禁用服务,开启自动播放:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer
\Advanced\Folder\Hidden\SHOWALL]
新建键值:DWORD:" CheckedValue"="0"
原键值:DWORD:" CheckedValue"="1"
CheckedValue
描述:锁定隐藏文件的显示
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\policies\Explorer]
新建键值:DWORD:"NoDriveTypeAutoRun"="145"
原键值:DWORD:" NoDriveTypeAutoRun"="0"
描述:开启自动播放功能。
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\helpsvc]
新建键值:DWORD:"Start"="4"
原键值:DWORD:"Start"="2"
描述:禁用系统帮助服务,修改启动方式“自动”为“禁用”
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Services\SharedAccess]
新建键值:DWORD:"Start"="4"
原键值:DWORD:"Start"="2"
描述:禁用入侵保护服务,修改启动方式“自动”为“禁用”
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\wscsvc]
新建键值:DWORD:"Start"="4"
原键值:DWORD:"Start"="2"
描述:禁用系统防火墙服务,修改启动方式“自动”为“禁用”
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\wuauserv]
新建键值:DWORD:"Start"="4"
原键值:DWORD:"Start"="2"
描述:禁用系统自动更新服务,修改启动方式“自动”为“禁用”
5、删除注册表,无法进入安全模式:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Control\SafeBoot\Minimal
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
注册表值: "@"
类型: REG_SZ
字符串:"DiskDrive"
描述:删除注册表中进入安全模式需要加载驱动文件的相关信息,
使用户无法进入安全模式。
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Control\SafeBoot\Network
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
注册表值: "@"
类型: REG_SZ
字符串:"DiskDrive"
描述:删除注册表中进入安全模式需要加载驱动文件的相关信息,
使用户无法进入安全模式。
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
--------------------------------------------------------------------------------
清除方案:
1 、使用安天木马防线可彻底清除此病毒(推荐),
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用Atool“进程管理”关闭病毒进程:
%ProgramFiles%\Common Files\System\.exe
%ProgramFiles%\Common Files\Microsoft Shared\.exe
(2)删除病毒文件:
%DriveLetter%\autorun.inf
%DriveLetter%\.exe
%ProgramFiles%\.inf
%ProgramFiles%\meex.exe
%ProgramFiles%\Common Files\System\.exe
%ProgramFiles%\Common Files\Microsoft Shared\.exe
(3)恢复病毒修改的注册表项目,删除病毒添加的注册表项:
恢复下列各项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer
\Advanced\Folder\Hidden\SHOWALL]
新建键值:DWORD:" CheckedValue"="0"
原键值:DWORD:" CheckedValue"="1"
CheckedValue
描述:锁定隐藏文件的显示
[HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion
\policies\Explorer]
新建键值:DWORD:"NoDriveTypeAutoRun"="145"
原键值:DWORD:" NoDriveTypeAutoRun"="0"
描述:开启自动播放功能。
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\helpsvc]
新建键值:DWORD:"Start"="4"
原键值:DWORD:"Start"="2"
描述:禁用系统帮助服务,修改启动方式“自动”为“禁用”
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Services\SharedAccess]
新建键值:DWORD:"Start"="4"
原键值:DWORD:"Start"="2"
描述:禁用入侵保护服务,修改启动方式“自动”为“禁用”
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\wscsvc]
新建键值:DWORD:"Start"="4"
原键值:DWORD:"Start"="2"
描述:禁用系统防火墙服务,修改启动方式“自动”为“禁用”
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\wuauserv]
新建键值:DWORD:"Start"="4"
原键值:DWORD:"Start"="2"
描述:禁用系统自动更新服务,修改启动方式“自动”为“禁用”
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Control\SafeBoot\Minimal
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
注册表值: "@"
类型: REG_SZ
字符串:"DiskDrive"
描述:删除注册表中进入安全模式需要加载驱动文件的相关信息,
使用户无法进入安全模式。
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Control\SafeBoot\Network
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
注册表值: "@"
类型: REG_SZ
字符串:"DiskDrive"
描述:删除注册表中进入安全模式需要加载驱动文件的相关信息,
使用户无法进入安全模式。
删除下列各项
[HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion\Run]
注册表值: "@"
类型: REG_SZ
值: "C:\Program Files\Common Files\System\.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows NT\CurrentVersion
\Image File Execution Options
\被映像劫持的文件名称
注册表值: "Debugger"
类型: REG_SZ
值:"C:\Program Files\Common Files
\Microsoft Shared\.exe"
描述: 映像劫持项,当系统执行被映像劫持的文件名称时,
将不执行该文件,而是执行映像文件。
被映像劫持的文件名称列表如下:
360rpt.exe、360Safe.exe、360tray.exe、
adam.exe、AgentSvr.exe、AppSvc32.exe、
ArSwp.exe、AST.exe、autoruns.exe、
avconsol.exe、avgrssvc.exe、AvMonitor.exe、
avp.com、avp.exe、CCenter.exe、ccSvcHst.exe、
EGHOST.exe、FileDsty.exe、FTCleanerShell.exe、
FYFireWall.exe、HijackThis.exe、IceSword.exe、
iparmo.exe、Iparmor.exe、isPwdSvc.exe、
isPwdSvc.exe、kabaload.exe、KaScrScn.SCR、
KASMain.exe、KASTask.exe、KAV32.exe、
KAVDX.exe、KAVPF.exe、KAVPFW.exe、
KAVSetup.exe、KAVStart.exe、KISLnchr.exe、
KMailMon.exe、KMFilter.exe、KPFW32.exe、
KPFW32X.exe、KPfwSvc.exe、KRegEx.exe、
KRepair.com、KsLoader.exe、KVCenter.kxp、
KvDetect.exe、KvfwMcl.exe、KVMonXP.kxp、
KVMonXP_1.kxp、kvol.exe、kvolself.exe、
KvReport.kxp、KVScan.kxp、KVSrvXP.exe、
KVStub.kxp、kvupload.exe、kvwsc.exe、
KvXP.kxpKvXP_1.kxp、KWatch.exe、KWatch9x.exe、
KWatchX.exe、loaddll.exe、MagicSet.exe、
mcconsol.exe、mmqczj.exe、mmsk.exe、
Navapsvc.exe、Navapw32.exe、nod32.exe、
nod32krn.exe、nod32kui.exe、NPFMntor.exe、
PFW.exe、PFWLiveUpdate.exe、QHSET.exe、
QQDoctor.exe、QQKav.exe、Ras.exe、Rav.exe、
RavMon.exe、RavMonD.exe、RavStub.exe、
RavTask.exe、RegClean.exe、rfwcfg.exe、
rfwmain.exe、rfwsrv.exe、RsAgent.exe、
Rsaupd.exe、rstrui.exe、runiep.exe、
safelive.exe、scan32.exe、shcfg32.exe、
SmartUp.exe、SREng.EXE、symlcsvc.exe、
SysSafe.exe、TrojanDetector.exe、
Trojanwall.exe、TrojDie.kxp、UIHost.exe、
UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、
UmxFwHlp.exe、UmxPol.exe、upiea.exe、
UpLive.exe、USBCleaner.exe、vsstat.exe、
webscanx.exe、WoptiClean.exe |
发表于 2008-6-11 07:14
发表于 2008-6-11 09:58
