捕獲時間
2009-1-25
病毒摘要
該樣本是使用“易語言”編寫的蠕蟲程序,由微點主動防御軟件自動捕獲,長度為“1,414,753 字節”,圖標為“
”,對于設置了不顯示隱藏文件且隱藏已知擴展名的用戶,有極大的欺騙性,病毒擴展名為“exe”,主要通過“文件捆綁”、“欺騙用戶點擊”、“下載器下載”、“可移動存儲介質”等方式傳播,病毒主要目的為不斷感染其他電腦及可移動介質刷取訪問流量。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
文件捆綁、欺騙用戶點擊、下載器下載、可移動存儲介質
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Worm.Win32.AutoRun.kkr”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶,微點反病毒專家建議:
1、不要在不明站點下載非官方版本的軟件進行安裝,避免病毒通過捆綁的方式進入您的系統。
2、建議關閉U盤自動播放,具體操作步驟:開始->運行->gpedit.msc->計算機配置->管理模板->系統->在右側找到"關閉自動播放"->雙擊->選擇"已啟用"。
3、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺,并開啟防火墻攔截網絡異常訪問,如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持。
4、開啟windows自動更新,及時打好漏洞補丁。
病毒分析
該樣本程序被執行后,彈出對話框提示用戶該樣本為“無效目錄”,企圖迷惑用戶:
在系統文件夾“%SystemRoot%\system32”內建立以下文件夾:
| |
372109
499E86
2B4FA4
A9C3FF
372109 |
|
復制自身至“%SystemRoot%\system32\372109”,重命名為“C00285.EXE”,釋放易語言動態庫文件:
| |
cnvpe.fne
dp1.fne
eAPI.fne
HtmlView.fne
internet.fne
krnln.fnr
shell.fne
spec.fne
RegEx.fnr |
|
在用戶“開始”菜單,“所有程序”中的“啟動”文件夾內建立快捷方式,指向:“%SystemRoot%\system32\372109\C00285.EXE”,實現開機啟動。
“C00285.EXE”將嘗試訪問“www.baidu.com”測試聯網狀態,聯網成功后嘗試訪問網絡地址:
| |
http://x**.cn/u5.htm
http:// n-**.cn/c.htm
http:// w-**.cn/o.htm
http:// w-**.cn/o5.htm |
|
“C00285.EXE”將不斷遍歷用戶磁盤類型,當用戶主機連接到新的“可移動存儲介質”時,將復制自身至可移動存儲介質根目錄,并重命名為“Recycle.exe”,建立“autorun.inf”,“autorun.inf”內容如下:
| |
[AutoRun]
open=Recycle.exe
shell\1=打開(&O)
shell\1\Command=Recycle.exe
shell\2\=瀏覽(&B)
shell\2\Command=Recycle.exe
shellexecute=Recycle.exe |
|
遍歷目錄內文件夾,將全部文件夾設置為系統、隱藏、只讀,并復制自身為文件夾總個數,名稱與各文件夾同名。企圖欺騙用戶點擊,通過可移動介質感染其他主機,達到傳播目的。
