蠕蟲程序
Worm.Win32.AutoRun.ohe
捕獲時間
2010-1-18
危害等級
中
病毒癥狀
該樣本是使用“Borland Dephi”編寫的蠕蟲程序,由微點主動防御軟件自動捕獲,采用“NEW”加殼方式,企圖躲避特征碼掃描,加殼后長度為“15,013 字節“,圖標為“
”,病毒擴展名為“exe”,主要通過“文件捆綁”、“下載器下載”、“移動存儲介質”,然后下載木馬到本地運行。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista
傳播途徑
網頁掛馬、文件捆綁、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知網絡蠕蟲”,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Worm.Win32.AutoRun.ohe”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1、手動刪除以下文件:
%SystemRoot%\Tasks\csrss.exe
%SystemRoot%\meupdate.Ini
%SystemRoot%\tasks\綠化.Bat
%SystemRoot%\Tasks\wsock32.dll
X:\hackhen.Vbs
X:\AutoRun.inf
2、手動刪除以下注冊表值:
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK
值:stubpath
數據:X:\hackhen.Vbs
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
1.病毒運行后,創建互斥體,防止程序二次運行。
2.查找Active Setup的安裝路徑,刪除注冊表項。
3.創建進程快照,查找360tray.exe、ast.exe、fwmon.exe等進程,如發現則結束進程。
4.創建線程,釋放文件%SystemRoot%\Tasks\csrss.exe,創建%SystemRoot%\mfxixue.bat,刪除病毒文件和批處理文件,啟動csrss.exe。
5.查找包含360tray,NOD32,瑞星,木馬,殺馬,綠鷹,Mcafee,Firewal,Virus,AntiWorm的窗口,發消息關閉,然后彈出窗口內容為“安全提示:您正在使用的**是盜版軟件,可能您是盜版軟件的受害者,為了給合法用戶提供保證,我們無法繼續給您提供服務,請到指定銷售商購買我們的正版軟件,如果有任何疑問,請到我們微軟主頁查看http://www.microsoft.com”,來迷惑用戶。
6.查找窗口類名稱為 "AfxControlBar42s"(IceSword),發送消息關閉窗口。
7.遍歷所有html,htm,asp,aspx,php,jsp文件,嵌入腳本,增加連接http://jxfhack.cn///pcgames/wowchina.js。
8.遍歷磁盤檢查是否有autorun.inf文件,如果有將其隨機改名,之后向里面寫入autorun.inf 和hackhen.Vbs。
9.病毒自身到拷貝自身%SystemRoot%\tasks\綠化.Bat。
10.連接網絡,下載大量未知程序到本地執行。
11.病毒自我更新:釋放%SystemRoot%\meupdate.Ini,與http://jxfhack.cn//updatexixue.tx比較,如果不同,則下載病毒新版本到本地
執行。
12.修改%SystemRoot%\drivers\etc\hosts文件,屏蔽大量安全網站。
13.釋放文件病毒wsock32.dll,復制到每個文件夾下,當文件夾下的exe文件的導入表含有wsock32.dll的時候,會首先調用同文件夾下的wsock32.dll。
病毒創建文件:
%SystemRoot%\Tasks\csrss.exe
%SystemRoot%\mfxixue.bat
%SystemRoot%\tasks\綠化.Bat
%SystemRoot%\meupdate.Ini
%SystemRoot%\Tasks\wsock32.dll
X:\hackhen.Vbs
X:\AutoRun.inf
X:為移動介質盤符
病毒創建注冊表:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
病毒刪除文件:
%SystemRoot%\mfxixue.bat
病毒修改文件:
%SystemRoot%\system32\drivers\etc\hosts
病毒刪除注冊表:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
病毒訪問網絡:
http://***.cn/wm/c***n.exe
http://jxfha**.cn//mm.exe
http://***ha**.cn//updatexixue.txt
