網(wǎng)絡蠕蟲
Worm.Win32.AutoRun.ogu
捕獲時間
2009-7-7
危害等級
2
病毒癥狀
該樣本是使用“VC”編寫的網(wǎng)絡蠕蟲病毒,由微點主動防御軟件自動捕獲,該病毒采用“WinUpack”加殼方式,企圖躲避特征碼掃描,加殼后長度為“28,672 字節(jié)”,圖標為“
”,病毒擴展名為“exe”,主要通過“文件捆綁”、“下載器下載”、“網(wǎng)頁掛馬”等方式傳播,病毒主要目的為從網(wǎng)絡下載大量病毒并運行。
用戶中毒后,會出現(xiàn)大多數(shù)殺毒軟件失效或無故被關閉,操作系統(tǒng)自帶部分工具無法使用,網(wǎng)絡速度變緩,windows系統(tǒng)無故報錯等現(xiàn)象。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網(wǎng)頁木馬、文件捆綁、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發(fā)現(xiàn)該病毒后將報警提示您發(fā)現(xiàn)“未知木馬”,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經(jīng)將微點主動防御軟件升級到最新版本,微點將報警提示您發(fā)現(xiàn)" Worm.Win32.AutoRun.ogu”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1、手工刪除以下文件:
%SystemRoot%\Fonts\isb.ini
%TEMP%\dll4.tmp
X:\GRIL.PIF
X:\AUTORUN.INF (X為任意盤符)
2、手動刪除以下注冊表值:
鍵:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[所有劫持]
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lubb
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lvbasb
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nsppv
3、手動修復以下注冊表鍵值:
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\
folder\hidden\showall
值: CheckedValue
數(shù)據(jù): 1
4、修復安全模式相關注冊表
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū),通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
(1)設置自身為隱藏,獲取AUTORUN.INF文件狀態(tài)信息,如果找到則運行病毒,如果沒有找到,則在下次啟動后刪除自身。
(2)創(chuàng)建qq935623508互斥體,防止二次運行。提升自身權限,獲得當前進程列表,查找是否有ekrn.exe和nod32krn.exe進程,如果找到,刪除相關服務,結束相關進程
(3)在%SystemDriver%目錄下創(chuàng)建名為lov.dll的動態(tài)鏈接庫文件,并設置自身為隱藏。
(4)再次獲取當前進程列表,查找是否有CCenter.exe進程,如果有,在%SystemRoot%\Fonts\目錄下釋放一個名為bssa.VBS的腳本文件,執(zhí)行該腳本文件來加載動態(tài)鏈接庫,如果沒有發(fā)現(xiàn)CCenter.exe進程,則調用RUNDLL32.EXE來加載動態(tài)鏈接庫,動態(tài)庫會結束大量安全軟件進程和刪除相關安全軟件服務。
(5)創(chuàng)建新線程,釋放名為dll4.tmp(文件名數(shù)字部分隨機生成)的動態(tài)鏈接庫文件到%TEMP%\目錄下并加載,加載之后,病毒將網(wǎng)址的信息保存名為isb.ini的配置文件到%SystemRoot%\Fonts\目錄下,并讀取該配置文件信息從網(wǎng)絡上下載大量新病毒。
(6)病毒利用鏡像劫持,使大多數(shù)反病毒軟件無法運行,通過修改注冊表相關鍵值,使顯示隱藏文件功能失效,使用戶無法進入安全模式、使常用殺毒軟件無法開機自啟動。
(7)刪除%SystemDriver%\lov.dll文件,創(chuàng)建一個新線程,該線程用來查找%SystemRoot%\System32\dllcache\linkinfo.dll文件是否存在,如果不存在,復制%SystemRoot%\System32\linkinfo.dll到%SystemRoot%\System32\dllcache\linkinfo.dll。
(8)創(chuàng)建新線程,該線程用來查找當前進程列表中是否有360tray.exe進程,如果有該進程,將在%SystemRoot%\System32\下釋放一個名為lubb.fon的驅動文件,并創(chuàng)建服務并啟動,用來結束360tray.exe進程,然后病毒刪除%SystemRoot%\System32\lubb.fon
(9)創(chuàng)建新線程,通過創(chuàng)建注冊表鍵值對卡巴斯基進程avp.exe進行鏡像劫持,使其無法運行。
(10)創(chuàng)建新進程,遍歷當前各個磁盤,寫GRIL.PIF和AUTORUN.INF文件。
病毒創(chuàng)建文件:
%SystemDriver%\lov.dll
%SystemRoot%\Fonts\bssa.VBS
%SystemRoot%\Fonts\isb.ini
%TEMP%\dll4.tmp
%SystemRoot%\System32\lubb.fon
%SystemDriver%\fonts\lvbasb.sys
%SystemDriver%\fonts\nsppv.sys
X:\GRIL.PIF
X:\AUTORUN.INF (X為任意盤符)
病毒修改文件:
%SystemRoot%\System32\linkinfo.dll
病毒刪除文件:
%SystemDriver%\lov.dll
%SystemRoot%\Fonts\bssa.VBS
%SystemRoot%\System32\lubb.fon
%SystemDriver%\fonts\lvbasb.sys
%SystemDriver%\fonts\nsppv.sys
病毒創(chuàng)建注冊表:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[鏡像劫持]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lubb
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lvbasb
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nsppv
病毒修改注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\
folder\hidden\showall\CheckedValue
病毒刪除注冊表:
HEKY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nod32krn
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值:
360Safetray
360Safebox
KavStart
vptray
ccApp
RavTray
egui
essact
病毒訪問網(wǎng)絡:
http://*****.ch.ma/dd.txt
http://***.**.cx/bb/1.exe
http://***.xl.cx/bb/2.exe
http://***.xl.cx/bb/7.exe
http://***.xl.cx/bb/88.exe
http://***.xl.cx/bb/9.exe
