捕獲時間
2009-1-8
病毒摘要
該樣本是使用“VC ”編寫的蠕蟲程序�,由微點主動防御軟件自動捕獲�,未加殼�����,樣本長度為“431,104 字節”�����,圖標為“
”���,病毒擴展名為“exe”�����,對于設置了不顯示隱藏文件且隱藏已知擴展名的用戶,有極大的欺騙性��,主要通過“誘騙用戶點擊”���、“文件捆綁”�����、“可移動磁盤傳播”等方式傳播,病毒主要目的為劫持用戶搜索引擎,獲取推廣利益。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬����、文件捆綁��、移動存儲介質
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞�。無論您是否已經升級到最新版本���,微點主動防御都能夠有效清除該病毒�����。如果您沒有將微點主動防御軟件升級到最新版����,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”����,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本�,微點將報警提示您發現"Worm.Win32.Agent.jii”����,請直接選擇刪除(如圖2)�����。
圖2 微點主動防御軟件升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶�,微點反病毒專家建議:
1�、不要在不明站點下載非官方版本的軟件進行安裝,避免病毒通過捆綁的方式進入您的系統�。
2����、建議關閉U盤自動播放��,具體操作步驟:開始->運行->gpedit.msc->計算機配置->管理模板->系統->在右側找到"關閉自動播放"->雙擊->選擇"已啟用"。
3��、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺����,并開啟防火墻攔截網絡異常訪問,如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持。
4���、開啟windows自動更新,及時打好漏洞補丁。
病毒分析
該樣本程序被執行后��,查找系統文件夾“%SystemRoot%\system32”內是否存在文件“winweb.exe”���,不存在則復制自身至系統文件夾“%SystemRoot%\system32”重命名為“winweb.dat”�����,完成后將“winweb.dat”�����,復制為“winweb.exe”并釋放動態庫文件“webad.dll”、“iconhandle.dll”。
修改注冊表,將動態庫文件“webad.dll”注冊為BHO���,相關注冊表項如下:
| |
鍵:“HKEY_CLASSES_ROOT\ad.h.1\CLSID”
值:“@”
數據:“{73EF2588-E4D1-4623-9B45-E0BBD6B65E9C}”
鍵:“HKEY_CLASSES_ROOT\ad.h\CLSID”
值:“@”
數據:“{73EF2588-E4D1-4623-9B45-E0BBD6B65E9C}”
鍵:“HKEY_CLASSES_ROOT\ad.h\CurVer”
值:“@”
數據:“ad.h.1”
鍵:“HKEY_CLASSES_ROOT\CLSID\{73EF2588-E4D1-4623-9B45-E0BBD6B65E9C}”
值:“@”
數據:“h Class”
鍵:“HKEY_CLASSES_ROOT\CLSID\{73EF2588-E4D1-4623-9B45-E0BBD6B65E9C}\InprocServer32”
值:“@”
數據:“C:\WINDOWS\system32\webad.dll”
鍵:“HKEY_CLASSES_ROOT\CLSID\{73EF2588-E4D1-4623-9B45-E0BBD6B65E9C}\ProgID”
值:“@”
數據:“ad.h.1”
鍵:“HKEY_CLASSES_ROOT\CLSID\{73EF2588-E4D1-4623-9B45-E0BBD6B65E9C}\TypeLib”
值:“@”
數據:“{5A0063A5-F6E9-4947-9D1C-9300CE1BB342}”
鍵:“HKEY_CLASSES_ROOT\CLSID\{73EF2588-E4D1-4623-9B45-E0BBD6B65E9C}\VersionIndependentProgID”
值:“@”
數據:“ad.h”
鍵:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{73EF2588-E4D1-4623-9B45-E0BBD6B65E9C}”
鍵:“HKEY_CLASSES_ROOT\TypeLib\{5A0063A5-F6E9-4947-9D1C-9300CE1BB342}\1.0”
值:“@”
數據:“ad 1.0 類型庫”
鍵:“HKEY_CLASSES_ROOT\TypeLib\{5A0063A5-F6E9-4947-9D1C-9300CE1BB342}\1.0\0\win32”
值:“@”
數據:“C:\WINDOWS\system32\webad.dll”
鍵:“HKEY_CLASSES_ROOT\TypeLib\{5A0063A5-F6E9-4947-9D1C-9300CE1BB342}\1.0\HELPDIR”
值:“@”
數據:“C:\WINDOWS\system32” |
|
修改注冊表,將系統TXT文件的圖標指向“iconhandle.dll”����,更換為“
”����,相關注冊表項如下:
| |
鍵:“HKEY_CLASSES_ROOT\AppID\{DD0AD1D0-6C36-4894-B38E-9E5D3392114D”
值:“@”
數據:“iconhandle”
鍵:“HKEY_CLASSES_ROOT\AppID\iconhandle.DLL”
值:“AppID”
數據:“{DD0AD1D0-6C36-4894-B38E-9E5D3392114D}”
鍵:“HKEY_CLASSES_ROOT\iconhandle.seticon.1\CLSID”
值:“@”
數據:“{AEFA7E78-CF7E-4550-829F-2C786A0070BF}”
鍵:“HKEY_CLASSES_ROOT\iconhandle.seticon\CLSID”
值:“@”
數據:“{AEFA7E78-CF7E-4550-829F-2C786A0070BF}”
鍵:“HKEY_CLASSES_ROOT\iconhandle.seticon\CurVer”
值:“@”
數據:“iconhandle.seticon.1”
鍵:“HKEY_CLASSES_ROOT\CLSID\{AEFA7E78-CF7E-4550-829F-2C786A0070BF}\InprocServer32”
值:“@”
數據:“C:\WINDOWS\system32\iconhandle.dll”
鍵:“HKEY_CLASSES_ROOT\CLSID\{AEFA7E78-CF7E-4550-829F-2C786A0070BF}\ProgID”
值:“@”
數據:“iconhandle.seticon.1”
鍵:“HKEY_CLASSES_ROOT\CLSID\{AEFA7E78-CF7E-4550-829F-2C786A0070BF}\TypeLib”
值:“@”
數據:“{581F1707-4AD0-4B7B-AD6E-057DB8F686F3}”
鍵:“HKEY_CLASSES_ROOT\CLSID\{AEFA7E78-CF7E-4550-829F-2C786A0070BF}\VersionIndependentProgID”
值:“@”
數據:“iconhandle.seticon”
鍵:“HKEY_CLASSES_ROOT\txtfile\shellEx\IconHandler”
值:“@”
數據:“{AEFA7E78-CF7E-4550-829F-2C786A0070BF}”
鍵:“HKEY_CLASSES_ROOT\TypeLib\{581F1707-4AD0-4B7B-AD6E-057DB8F686F3}\1.0”
值:“@”
數據:“iconhandle 1.0 類型庫”
鍵:“HKEY_CLASSES_ROOT\TypeLib\{581F1707-4AD0-4B7B-AD6E-057DB8F686F3}\1.0\0\win32”
值:“@”
數據:“C:\WINDOWS\system32\iconhandle.dll”
鍵:“HKEY_CLASSES_ROOT\TypeLib\{581F1707-4AD0-4B7B-AD6E-057DB8F686F3}\1.0\HELPDIR”
值:“@”
數據:“C:\WINDOWS\system32” |
|
“webad.dll”注冊為BHO后����,將對用戶搜索進行劫持�,當網址包含“http://www.baidu.com/s”以及“http://www.google.cn/search”時,將用戶搜索引擎統一修改為“http://www.google.cn”��,讀取用戶搜索關鍵字后使用����,并加入“client=pub-9647544675692062”的客戶端標示進行搜索,為病毒制造者帶來搜索引擎推廣利益��。
若系統文件夾內“%SystemRoot%\system32”存在文件“winweb.exe”���,或用戶被圖標欺騙����,并嘗試再次執行樣本,樣本將啟動“winweb.exe”���, “winweb.exe”啟動后檢測自身位置���,若為“%SystemRoot%\system32”目錄下����,則駐留系統內存�����,不斷遍歷可移動磁盤��,發現后將可移動磁盤內全部文件夾設置為“系統、隱藏��、只讀”�,并將自身復制至可移動磁盤,數目與原文件夾數目相同,名稱與原文件夾同名���,達到通過可移動磁盤傳播自身的目的���。
