蠕蟲病毒
Worm.Win32.AutoRun.rpo
捕獲時間
2010-1-10
危害等級
中
病毒癥狀
該樣本是使用“Microsoft Visual C/C ”編寫的“蠕蟲病毒”,由微點主動防御軟件自動捕獲,采用“Upack”加殼方式試圖躲避特征碼掃描,加殼后長度為24,420字節,圖標為“
”, 使用“ exe”擴展名,通過網頁木馬、下載器下載、移動介質(如U盤)等方式進行傳播。
用戶中毒后,會出現計算機及網絡運行緩慢,安全軟件退出等現象。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista
傳播途徑
網頁掛馬、文件捆綁、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Worm.Win32.AutoRun.rpo”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1、手動刪除以下文件:
%Temp%\dll4.tmp
X:\ AUTORUN.iNf
X:\ HAZ.pIF
X移動介質。
2、手動刪除以下注冊表鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\安全軟件]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aae
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xo0op
3、手動修改文件:
用同版本的linkinfo.dll替換%SystemDriver%\system32\linkinfo.dll。
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
1.病毒運行后,自動加載kernel32.dll,動態查找API函數。
2.創建"%SystemRoot%\system32\taskmgr.exe",判斷是否創建成功,如果成功則退出。
3.設置病毒文件為系統隱藏,移動病毒文件,重啟后刪除。
4.病毒創建名為"QIANNIAND"的互斥體,防止程序二次運行。
5.病毒設置自己權限為"SeDebugPrivilege"。
6.創建進程快照,查找"ekrn.exe"進程,如果查找成功以"cmd /c sc delete ekrn"命令刪除服務, 以taskkill命令,結束ekrn.exe、egui.exe進程。
7.創建進程快照,查找"nod32krn.exe"進程,如果查找成功以"cmd /c sc delete nod32krn.e"命令刪除服務,以taskkill命令,關閉nod32krn.exe、nod32kui.exe進程。
8.創建線程,釋放 "%SystemDriver%\dasb.dll"病毒文件并設置為系統隱藏。
9.在"%SystemDriver%\dasb.dll"中,釋放驅動程序"%Systemroot%\Fonts\pci.sys",創建名為aae的服務,恢復SSDT,遍歷磁盤查找"360safe.exe"、"360tray.exe"、"safeboxTray.exe"、"krnl360svc.exe"、"rstray.exe"、 "360sd.exe"、"kavstart.exe"、"Mcshield.exe"、"anti.exe" "ANTI-TROJAN.exe"、"ZhuDongFangYu.exe"、"antivir.exe"、"atrack.exe" 、"ATRACK.exe"、"AVE32.exe"、
"AUTODOWN.exe" 、"AVCONSOL.exe"、 "AVGCTRL.exe"、"CFIADMIN.exe"并結束等進程,刪除安全軟件相關文件,最后刪除驅動pci.sys文件。
10.查找 "RavMonD.exe"進程,如果找到以命令行的方式結束進程。
11.釋放%Temp%\dll4.tmp動態鏈接庫文件,修改注冊表,使顯示隱藏文件失效;創建大量的鏡像劫持,使殺軟失效,連接網絡,下載病毒。
12.遍歷進程,查找avp.exe,如果找到,卸載kavbase.kdl、webv.kdl、vlns.kdl、mark.kdl、klavemu.kdl、kijm.kdl模塊,以"cmd /c sc config avp start= disabled"命令關閉服務。
13.刪除"%SystemDriver%\dasb.dll"
14.檢查"%SystemRoot%\system32\dllcache\linkinfo.dll"是否存在,不存在就拷貝"%SystemRoot%\system32\linkinfo.dll"到此文件夾,釋放驅動文件"%SystemRoot%\Fonts\tPxn.sys",創建名稱為"xo0op"的服務,感染"%SystemRoot%\system32\linkinfo.dll"。
15.遍歷磁盤,在每個磁盤下創建AUTORUN.iNf和HAZ.pIF。
病毒創建文件:
%SystemDriver%\dasb.dll
%Systemroot%\Fonts\pci.sys
%Temp%\dll4.tmp
%SystemRoot%\Fonts\tPxn.sys
X:\ AUTORUN.iNf
X:\ HAZ.pIF
X移動介質。
病毒刪除文件:
%SystemDriver%\dasb.dll
%Systemroot%\Fonts\pci.sys
%SystemRoot%\Fonts\tPxn.sys
病毒修改文件:
%SystemDriver%\system32\linkinfo.dll
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\安全軟件]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aae
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xo0op
