捕獲時間
2008-10-15
病毒摘要
該樣本是使用“Delphi”編寫的蠕蟲程序,由微點主動防御軟件自動捕獲,采用“UPX”加殼方式試圖躲避特征碼掃描,加殼后長度為“15,876 字節”,圖標為
,使用“exe”擴展名,通過“網頁木馬”、“移動存儲介質”、“壓縮包感染”、“ 局域網傳播”等途徑植入用戶計算機,運行后下載其他木馬程序到本地運行。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬、文件捆綁
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1);
圖1 主動防御自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Worm.Win32.AutoRun.gut”,請直接選擇刪除(如圖2)。
圖2 升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶,微點反病毒專家建議:
1、不要在不明站點下載非官方版本的軟件進行安裝,避免病毒通過捆綁的方式進入您的系統。
2、建議關閉U盤自動播放,具體操作步驟:開始->運行->gpedit.msc->計算機配置->管理模板->系統->在右側找到"關閉自動播放"->雙擊->選擇"已啟用"。
3、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺,并開啟防火墻攔截網絡異常訪問,如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持。
4、開啟windows自動更新,及時打好漏洞補丁。
病毒分析
該樣本程序被執行后,拷貝自身到目錄%systemroot%\Tasks\下并重命名為“kav32.exe”,使用批處理啟動自身;在同一目錄下釋放腳本文件“pig.vbs” ,動態庫文件“wsock32.dll”以及“安裝.bat”,其中“pig.vbs”的內容如下:
| |
On Error Resume Next
Set rs=createObject("Wscript.shell")
rs.run "%windir%\Tasks\kav32.exe",0 |
|
修改如下注冊表健值使得開機自啟動,后調用批處理執行自刪除。
| |
項:
HKLM\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{H8I22RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}\
鍵值:stubpath
指向數據:%windir%\Tasks\pig.vbs |
|
病毒程序“kav32.exe”運行后,執行以下動作
遍歷進程查找如下進程,如存在則強制結束:
| |
360tray.exe
Iparmor.exe
WEBSCANX.EXE
TBSCAN.EXE
TrojanHunter.exe
THGUARD.EXE
FWMon.exe
mmsk.exe
vptray.exe |
|
查找窗口名為如下字符的窗口,通過向其發送相關消息使其關閉。
| |
專殺
監視
監控
后門
攔截
殺毒
Worm
卡巴斯基
超級巡警
江民
離線升級包
金山
nod32
process
進程
進 程
檢測
防火墻
主動防御
微點
瑞星
狙劍
上報
系統安全
綠鷹
安全衛士
舉報
舉 報 |
|
感染以“html”,“htm”,“asp”,“aspx”,“php”,“jsp”擴展名文件;刪除以“gho”擴展名的文件防止通過ghost進行系統恢復。
以當前機器的IP地址為參考,以“administrator”為用戶名對局域網中其他機器進行密碼猜解。如果成功則復制病毒副本“kav32.exe”到對方機器的共享“C”、“D”、“E”、“F”盤中,使用“at命令”等待“1分鐘”后執行病毒拷貝,如果執行失敗再次調用此命令等待“2分鐘”后執行。
病毒猜解的密碼字典如下:
| |
xp
home
love
123
nn
root
administrator
test
admin
guest
alex
user
game
123456movie
time
yeah
money
xpuser
hack
enter
new
password
111
123456
qwerty
test
abc123
memory
12345678
bbbbbb
88888
caonima
5201314
1314520
asdfgh
alex
angel
null
asdf
baby
woaini
movie |
|
通過查找%ProgramFiles%的環境變量獲得“winrar”安裝路徑,遍歷所有分區下的“.rar”,“.zip”,“.tgz”,“.cab”,“.tar”文件,后臺調用“winrar”程序,執行命令“\RAR.exe -ep a ”把病毒副本“安裝.bat”壓縮進壓縮包,誘使用戶點擊。
查找hosts文件寫入如下數據:
| |
127.0.0.1 www.360.cn
127.0.0.1 www.360safe.cn
127.0.0.1 www.360safe.com
127.0.0.1 www.chinakv.com
127.0.0.1 www.rising.com.cn
127.0.0.1 rising.com.cn
127.0.0.1 dl.jiangmin.com
127.0.0.1 jiangmin.co
127.0.0.1 www.jiangmin.com 203.208.37.99 www.duba.net
127.0.0.1 www.eset.com.cn
127.0.0.1 www.nod32.com 203.208.37.99 shadu.duba.net 203.208.37.99 union.kingsoft.com
127.0.0.1 www.kaspersky.com.cn
127.0.0.1 kaspersky.com.cn
127.0.0.1 www.kaspersky.com
127.0.0.1 60.210.176.251
127.0.0.1 www.cnnod32.cn
127.0.0.1 www.lanniao.org
127.0.0.1 www.nod32club.com
127.0.0.1 www.dswlab.com
127.0.0.1 bbs.sucop.com
127.0.0.1 www.virustotal.com
127.0.0.1 tool.ikaka.c
127.0.0.0 360.qihoo.com
127.0.0.1 qihoo.com
127.0.0.1 www.qihoo.com
127.0.0.1 www.qihoo.cn
127.0.0.1 124.40.51.17
127.0.0.1 58.17.236.92 |
|
遍歷各磁盤查看是否有“autorun.inf”文件,如果有將其刪除并寫入新的“autorun.inf”,創建“recycle.{645FF040-5081-101B-9F08-00AA002F954E}”文件夾,在該文件夾內寫入病毒副本“kav32.exe”,設置上述文件為“只讀”、“系統”、“隱藏”屬性。
遍歷所有文件夾并且將“%systemroot%\Tasks\wsock32.dll ”復制到每個文件夾下,設其屬性為“隱藏”,當該文件夾下的PE文件調用系統wsock32.dll導出函數時,會首先調用同文件夾下的wsock32.dll,聯網下載病毒程序。
