捕獲時(shí)間
2009-4-1
病毒摘要
該樣本是使用“DELPHI”編寫的蠕蟲程序,由微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲,采用“NsPacK”加殼方式,企圖躲避特征碼掃描,加殼后長(zhǎng)度為“13,824 字節(jié)”,圖標(biāo)為“
”,病毒擴(kuò)展名為“exe”,主要通過“文件捆綁”、“下載器下載”、“移動(dòng)存儲(chǔ)介質(zhì)”等方式傳播,病毒主要目的為下載大量病毒并運(yùn)行。
用戶中毒后,會(huì)出現(xiàn)用戶中毒后,會(huì)出現(xiàn)計(jì)算機(jī)及網(wǎng)絡(luò)運(yùn)行緩慢,安全軟件無故關(guān)閉,各類軟件、Windows無故報(bào)錯(cuò),發(fā)現(xiàn)大量未知進(jìn)程等現(xiàn)象。
感染對(duì)象
Windows 2000/Windows XP/Windows 2003
傳播途徑
文件捆綁、下載器下載、移動(dòng)存儲(chǔ)介質(zhì)
防范措施
已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶,無須任何設(shè)置,微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級(jí)到最新版本,微點(diǎn)主動(dòng)防御都能夠有效清除該病毒。如果您沒有將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版,微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“病毒”,請(qǐng)直接選擇刪除處理(如圖1);
圖1 微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲未知病毒(未升級(jí))
如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版本,微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)"Worm.Win32.AotoRun.gve”,請(qǐng)直接選擇刪除(如圖2)。
圖2 微點(diǎn)主動(dòng)防御軟件升級(jí)后截獲已知病毒
對(duì)于未使用微點(diǎn)主動(dòng)防御軟件的用戶,微點(diǎn)反病毒專家建議:
1、不要在不明站點(diǎn)下載非官方版本的軟件進(jìn)行安裝,避免病毒通過捆綁的方式進(jìn)入您的系統(tǒng)。
2、建議關(guān)閉U盤自動(dòng)播放,具體操作步驟:開始->運(yùn)行->gpedit.msc->計(jì)算機(jī)配置->管理模板->系統(tǒng)->在右側(cè)找到"關(guān)閉自動(dòng)播放"->雙擊->選擇"已啟用"。
3、盡快將您的殺毒軟件特征庫升級(jí)到最新版本進(jìn)行查殺,并開啟防火墻攔截網(wǎng)絡(luò)異常訪問,如依然有異常情況請(qǐng)注意及時(shí)與專業(yè)的安全軟件廠商聯(lián)系獲取技術(shù)支持。
4、開啟windows自動(dòng)更新,及時(shí)打好漏洞補(bǔ)丁。
未安裝微點(diǎn)主動(dòng)防御軟件的手動(dòng)解決辦法:
1、用%SystemDriver%\ttmm.tep替換%SystemRoot%\spoolsv.exe和%SystemRoot%\system32\dllcache\spoolsv.exe
2、手動(dòng)刪除以下文件:
%SystemRoot%\dkmsskmgrs.dll
X:\AUTORUN.INF
X: \HBSP.PIF (X:為任意盤符)
3、手動(dòng)刪除以下注冊(cè)表值:
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\
值:internetnet
數(shù)據(jù):%SystemRoot%\spoolsv.exe
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options(所有映像劫持)
4、手動(dòng)修改以下注冊(cè)表:
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\
hidden\showall
值:CheckedValue
數(shù)據(jù):1
5、修復(fù)安全模式注冊(cè)表
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū),通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時(shí)文件夾,通常為“C:\Documents and Settings\
當(dāng)前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認(rèn)安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
(1)創(chuàng)建互斥,設(shè)置自身文件屬性為系統(tǒng)屬性和隱藏屬性
(2)遍歷進(jìn)程,結(jié)束safeboxTray.exe進(jìn)程
(3)刪除文件%SystemRoot%\system32\mfc71.dll和%ProgramFiles%\Kingsoft\Kingsoft Internet Security 2008\kasbrowsershield.dll
(4)修改本地時(shí)間為2004
(5)設(shè)置以下文件,和自身為everyone完全控制權(quán)限
%SystemRoot%\system32\packet.dll
%SystemRoot%\system32\pthreadVC.dll
%SystemRoot%\system32\wpcap.dll
%SystemRoot%\system32\drivers\npf.sys
%SystemRoot%\system32\npptools.dll
%SystemRoot%\system32\drivers\acpidisk.sys
%SystemRoot%\system32\wanpacket.dll
%SystemRoot%\system32\drivers\etc\hosts
(6)停止server服務(wù)去掉%SystemRoot%\spoolsv.exe和%SystemRoot%\drivers\beep.sys的文件保護(hù),恢復(fù)SSDT
(7)結(jié)束如下進(jìn)程,和服務(wù)
360Safe.exe
360tray.exe
360rpt.EXE
Runiep.exe
RAv.exe
RSTray.exe
CCenter.EXE
RAVMON.EXE
RAVMOND.EXE
GuardField.exe
Ravxp.exe
GFUpd.exe
kmailmon.exe
kavstart.exe
KAVPFW.EXE
kwatch.exe
kav32.exe
kissvc.exe
UpdaterUI.exe
rfwsrv.exe
rfwProxy.exe
rfwstub.exe
RavStub.exe
rfwmain.exe
rfwmain.exe
TBMon.exe
nod32kui.exe
nod32krn.exe
KASARP.exe
FrameworkService.exe
scan32.exe
VPC32.exe
VPTRAY.exe
AntiArp.exe
KRegEx.exe
KvXP.kxp
kvsrvxp.kxp
kvsrvxp.exe
KVWSC.ExE
Iparmor.exe
Avp.EXE
VsTskMgr.exe
EsuSafeguard.exe
wuauclt.exe
sharedaccess
McShield
KWhatchsvc
KPfwSvc
Kingsoft Internet Security Common Service
Symantec AntiVirus
Symantec AntiVirus Drivers Services
Symantec AntiVirus Definition Watcher
Norton AntiVirus Server
(8)復(fù)制%SystemRoot%\system32\spoolsv.exe到%SystemDriver%\ttmm.tep,復(fù)制自身,覆蓋%SystemRoot%\system32\spoolsv.exe和%SystemRoot%\system32\dllcache\spoolsv.exe
(9)啟動(dòng)server服務(wù),刪除hosts文件
(10)去掉%SystemRoot%\system32\ftp.exe的everyone權(quán)限
(11)創(chuàng)建IEXPLORE.EXE進(jìn)程,插入IEXPLORE.EXE進(jìn)程,復(fù)制urlmon.dll為dkmsskmgrs.dll,下載病毒
(12)創(chuàng)建注冊(cè)表啟動(dòng)項(xiàng),映像劫持殺毒軟件和安全軟件,刪除安全模式相關(guān)注冊(cè)表
(13)循環(huán)寫AUTORUN.INF,和關(guān)閉以下關(guān)鍵字的窗口
衛(wèi)士
殺
NOD32
Process
瑞星
木馬
綠鷹
點(diǎn)
Mcafee
Firewall
virus
anti
民
worm
SReng
清理
警
病毒創(chuàng)建文件:
%SystemRoot%\dkmsskmgrs.dll
X:\AUTORUN.INF
X: \HBSP.PIF (X:為任意盤符)
病毒修改文件:
%SystemRoot%\spoolsv.exe
%SystemRoot%\drivers\beep.sys
%SystemRoot%\system32\dllcache\spoolsv.exe
病毒刪除文件:
%SystemRoot%\system32\mfc71.dl
%ProgramFiles%\Kingsoft\Kingsoft Internet Security 2008\kasbrowsershield.dll
%SystemRoot%\system32\drivers\etc\hosts
病毒創(chuàng)建注冊(cè)表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\
explorer\run\internetnet
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
病毒修改注冊(cè)表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\
advanced\folder\hidden\showall
病毒刪除注冊(cè)表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\
病毒創(chuàng)建進(jìn)程:
IEXPLORE.EXE
病毒訪問網(wǎng)絡(luò):
http://w.c**6.com/dd/1.exe
http://w.c**6.com/dd/2.exe
http://w.c**6.com/dd/3.exe
http://w.c**6.com/dd/4.exe
http://w.c**6.com/dd/5.exe
http://w.c**6.com/dd/6.exe
http://w.c**6.com/dd/7.exe
http://w.c**6.com/dd/8.exe
http://w.c**6.com/dd/9.exe
http://w.c**6.com/dd/10.exe
