捕獲時間
2009-4-15
病毒癥狀
該樣本是使用“Delphi編寫的網絡蠕蟲�����,由微點主動防御軟件自動捕獲���,采用“Upack”加殼方式���,企圖躲避特征碼掃描���,加殼后長度為“51,688 字節”����,圖標為“
”����,病毒擴展名為“exe”,主要通過“文件捆綁”��、“下載器下載”����、“移動存儲介質”等方式傳播,病毒主要目的為下載大量木馬并運行���!
用戶中毒后,會出現安全軟件無故關閉��,網絡運行緩慢���,安全模式無法進入���,windows系統無故報錯等現象��。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬��、文件捆綁、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶����,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞���。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版�,微點主動防御軟件在發現該病毒后將報警提示您發現“未知間諜軟件”����,請直接選擇刪除處理(如圖1)�����;
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本���,微點將報警提示您發現"Worm.Win32.AutoRun.lqx”��,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶,微點反病毒專家建議:
1�����、不要在不明站點下載非官方版本的軟件進行安裝���,避免病毒通過捆綁的方式進入您的系統�����。
2����、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺,并開啟防火墻攔截網絡異常訪問���,如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持����。
3、開啟windows自動更新,及時打好漏洞補丁�。
未安裝微點主動防御軟件的手動解決辦法:
1����、手動刪除以下文件:
%ProgramFiles%\Common Files\SafeSys.exe
%temp%\SafeSys(1).exe
%Temp%\SafeSys.txt
%ProgramFiles%\jnbim.bak
X:\SafeSys.exe
X:\AutoRun.inf (X:為任意盤符)
2�、手動刪除以下注冊表值:
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
鍵:HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SafeSys
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SafeSysDrv
鍵:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
鍵:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableWindowsUpdateAccess 3、手動修改以下注冊表:
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon
值:MonAccess
數據:1
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon
值:SiteAccess
數據:1
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon
值:ExecAccess
數據:1
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon
值:ARPAccess
數據:1
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon
值:weeken
數據:1
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon
值:IEProtAccess
數據:1
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon
值:LeakShowed
數據:1
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon
值:UDiskAccess
數據:1
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
值:SHOWALL
數據:1
4.用相同版本替換%SystemRoot%\system32\spoolsv.exe和%SystemRoot%\system32\dllcache\spoolsv.exe
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄�,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾����,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄�����,通常為:“C:\ProgramFiles”
病毒分析
(1)判斷參數是不是-Clear ���,判斷當前路徑是不是%ProgramFiles%\Common Files\SafeSys.exe�,如果不是��,執行%ProgramFiles%\Common Files\SafeSys.exe –Clear�,然后創建互斥"vip1.0,kuaigeiwoxiaoshi!"結束進程
(2)檢測自身路徑是不是在根目錄��,然后創建%SYSTEMDRIVER%\AutoRun.inf��,如果創建成功,打開C盤,發送消息,關閉窗口�����,如果窗口關閉失敗�����,查找殺毒軟件等彈出窗口,并關閉
(3)檢查自身是不是%ProgramFiles%\Internet Explorer\IEXPLORE.EXE���,如果是,打開指定網址����,然后判斷該網址對應文件�,是否是PE文件����,如果是PE文件,保存為%temp%\SafeSys(1).exe���,然后運行文件,不是PE文件�����,保存為%Temp%\SafeSys.txt�����,讀取下載列表進行下載
(4)判斷自身是不是%SystemRoot%\system32\svchost.exe�����,刪除安全模式,結束殺軟進程�,設置360相關注冊表���,修改啟動項目�,刪除修改注冊表時��,用到的文件,打開 "vip1.0,kuaigeiwoxiaoshi!"如果打開成功,創建%Temp%\~hkfbl.bat刪除%ProgramFiles%\Common Files\SafeSys.exe等一系列卸載操作
(5)判斷自身路徑是不是 %ProgramFiles%\Common Files\SafeSys.exe����,結束進程���,創建映像劫持��,遍歷盤符寫AutoRun.inf
(6)判斷自身是不是%SystemRoot%\system32\spoolsv.exe,啟動保護服務
(7)判斷參數是不是“-SafeSys”�����,不是創建“SAMPLE.exe –SafeSys”進程,并創建互斥"-SafeSys"
(8)創建%ProgramFiles%\jnbim.bak���,然后加載,釋放驅動文件%SystemRoot%\Fonts\aruql.fon����,創建服務aruql��,啟動驅動,然后刪除��,驅動主要功能是起保護病毒文件功能���。
(9)查找窗口����,關閉常見安全軟件,調試工具等��,修改注冊表�����,關閉進程,遍歷磁盤寫AutoRun.inf
(10)停止Spooler服務,去掉%SystemRoot%\system32\spoolsv.exe的文件保護����,釋放驅動Temp\~cifsw.tmp�,創建"SafeSysDrv"服務啟動Temp\~cifsw.tmp"�,修改%SystemRoot%\system32\spoolsv.exe
(11)查找內網共享等,進行內網傳播,發送統計信息到指定網站
(12)復制自身到%ProgramFiles%\Common Files\SafeSys.exe�,并以SafeSys參數運行�,病毒檢查是否以"-Service"參數運行���,然后以"-Service"參數運行�����,
(13)復制%SystemRoot%\system32\spoolsv.exe到%SystemRoot%\system32\dllcache\spoolsv.exe�����,檢查Spooler服務關聯文件,啟動Spooler服務,啟動兩個SVCHOST進程���,并把病毒代碼寫入,檢查注冊表啟動項目和病毒是否存在,然后退出
(14)生成刪除自身%Temp%\~brlhb.bat刪除自身�,
病毒創建文件:
%ProgramFiles%\Common Files\SafeSys.exe
%temp%\SafeSys(1).exe
%Temp%\SafeSys.txt
%ProgramFiles%\jnbim.bak
%SystemRoot%\Fonts\aruql.fon
%Temp%\~hkfbl.bat
%Temp%\~brlhb.bat
X:\SafeSys.exe
X:\AutoRun.inf (X:為任意盤符)
病毒修改文件:
%SystemRoot%\system32\spoolsv.exe
%SystemRoot%\system32\dllcache\spoolsv.exe
病毒刪除文件:
%Temp%\~hkfbl.bat
%Temp%\~brlhb.bat
%SystemRoot%\Fonts\aruql.fon
X:\SafeSys.exe
X:\AutoRun.inf (X:為任意盤符)
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SafeSys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SafeSysDrv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aruql
HKEY_CURRENT_USER\Software\alppvw
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableWindowsUpdateAccess
病毒修改注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\MonAccess
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\SiteAccess
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\ExecAccess
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\ARPAccess
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\weeken
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\IEProtAccess
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\LeakShowed HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\UDiskAccessHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler\ImagePath HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
病毒刪除注冊表:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_CURRENT_USER\Software\alppvw
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aruql
病毒創建進程:
svchost.exe(兩個)
病毒訪問網絡:
http://count.key5188.com/count/get.asp
http://c.8yeye.com/count.txt
