捕獲時間
2008-09-29
病毒摘要
該樣本是使用“DELPHI”編寫的“蠕蟲程序”�,由微點主動防御軟件自動捕獲�,采用“WinUpack”加殼方式試圖躲避特征碼掃描,加殼后長度為“32,180字節”���,圖標為
���,使用“exe”擴展名���,通過“下載器下載”���、“可移動存儲介質”等多途徑植入用戶計算機����,下載多數木馬到本地執行�����。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬�、文件捆綁
防范措施
已安裝使用微點主動防御軟件的用戶���,無須任何設置�����,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞���。無論您是否已經升級到最新版本�����,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版��,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”�,請直接選擇刪除處理(如圖1);
圖1 主動防御自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現網絡蠕蟲"Worm.Win32.AutoRun.fxh”��,請直接選擇刪除(如圖2)���。
圖2 升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶����,微點反病毒專家建議:
1�、不要在不明站點下載非官方版本的軟件進行安裝,避免病毒通過捆綁的方式進入您的系統��。
2�、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺,并開啟防火墻攔截網絡異常訪問���,如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持。
3�����、開啟windows自動更新��,及時打好漏洞補丁����。
病毒分析
該樣本程序被執行后���,把自己拷貝到系統目錄%SystemRoot%\system下重命名“llzjy080908.exe”�����,并在同目錄下釋放“zjj32dla.dll”���;添加調試特權提升自身權限��,后遍歷進程查找如下進程���,并用“ntsd -c q -p ”命令結束���。
| |
AVP.exe
runiep.exe
kregex.exe
kvxp.kxp
360tray.exe
rstray.exe |
|
枚舉盤符將自身重命名為“auto.exe” 并拷貝到非系統分區���;修改注冊表、并把自身拷貝到[開始]菜單啟動項中��,實現自啟動功能�����;使用“WinExec”以隱藏方式執行“iexplore.exe”進程����,申請內存空間將“ zjj32dla.dll”寫入���;修改IE的自動撥號和檢查關聯的注冊表項�����,下載木馬到本地執行�����;“zjj32dla.dll”用“netbios”函數得到本機MAC地址,并利用MAC地址設置為連接參數�,鏈接“http://www.***fw.cn/8888/mydown.asp?ver=080908&tgid=4&address=00-00-00-00-00-00”�。
注冊表修改如下:
| |
HKYM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run
項: dlnjj_df
指向數據:C:\WINDOWS\system\llzjy080908.exe
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
項:ValueName = "Check_Associations"
指向數據: no
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
項:EnableAutodial
指向數據:0 |
|
Autorun.ini內容如下:
| |
[AutoRun]
shell\open=打開(&O)
shell\open\Command=auto.exe
shell\open\Default=1
shell\explore=資源管理器(&X)
shell\explore\command=auto.exe |
|
