蠕蟲病毒
Worm.Win32.AutoRun.pmf
捕獲時間
2010-2-16
危害等級
中
病毒癥狀
該樣本是使用“Visual C/C ”編寫的“蠕蟲病毒”,由微點主動防御軟件自動捕獲,采用“Upack”加殼方式試圖躲避特征碼掃描,加殼后長度為25,015字節,圖標為“
”�, 使用“ exe”擴展名����,通過網頁木馬�、下載器下載�、移動介質(如U盤)等方式進行傳播。
用戶中毒后,會出現計算機及網絡運行緩慢��,安全軟件退出等現象�。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista
傳播途徑
網頁掛馬、文件捆綁、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶���,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒����。如果您沒有將微點主動防御軟件升級到最新版�,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬“�,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Worm.Win32.AutoRun.pmf”��,請直接選擇刪除(如圖2)����。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1��、手動刪除以下文件:
%Temp%\nnn1.tmp
X:\ AUTORUN.INF
X:\ ZF.PIF
X移動介質��。
2、手動刪除以下注冊表鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[安全軟件]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pci
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\softic
3、手動修改文件:
用同版本的linkinfo.dll替換%SystemDriver%\system32\linkinfo.dll���。
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄����,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄���,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾���,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄����,通常為:“C:\ProgramFiles”
病毒分析
1.病毒運行后,判斷"%SystemRoot%\system32\taskmgr.exe"是否存在,如果不存在就退出當前進程�,否則檢查病毒所在目錄是否存在autorun.exe�����,如果存在就執行explorer.exe;設置自身為隱藏屬性,系統重啟后刪除。
2.病毒創建名為DDIAO的互斥體��,防止程序二次運行�����;設置自己為SeDebugPrivileg權限����。
3.創建線程���,枚舉并關閉殺毒軟件窗口��,調用命令行嘗試刪除RsRavMon、nod32krn和ekrn服務����,并結束ekrn.exe�、egui.exe��、nod32krn和nod32kui.exe����。
4.如果發現瑞星相關進程�����,釋放動態庫文件"%SystemDriver%\shiew.dll"并設置為隱藏屬性���,然后以RKTV為參數��,調用rundll32加載該動態庫。
5.在shiew.dll中�,釋放驅動文件"%SystemRoot%\Fonts\pci.sys"����,創建名稱為"aae"的服務�����,恢復SSDT��,遍歷查找并結束360safe.exe、
360tray.exe����、safeboxtray.exe、360safebox.exe����、krnl360svc.exe�����、zhudongfangyu.exe、rstray.exe��、360sd.exe�、360rp.exe、kavstart.exe、
Kswebshield.exe�、Mcshield.exe等進程����,刪除安全軟件相關文件,最后刪除驅動文件���。
6.創建線程,釋放動態鏈接庫%Temp%\nnn1.tmp并MSCON為參數加載�。
7.在nnn1.tmp中��,創建名為CLEAN的互斥體,創建大量安全軟件和注冊表編輯器的映像劫持����,創建線程���,查找并關閉兵刃窗口����;創建線程連接網絡����,下載病毒列表到%SystemRoot%\Fonts\best.ini�����,根據列表下載病毒到本地運行
8.創建線程�,遍歷查找avp.exe����,如果找到卸載kavbase.kdl、webva.kdl等模塊,停止服務使殺軟失效。
9.刪除動態庫文件shiew.dll��。
10.檢查"%SystemRoot%\system32\dllcache\linkinfo.dll"是否存在�,不存在就拷貝"%SystemRoot%\system32\linkinfo.dll"到此文件夾,釋放驅動文件"%SystemRoot%\Fonts\softic.sys",創建名稱為 "softic"的服務���。
11.創建線程,遍歷進程,如果發現360tray.exe�,調用sfc_os.dll的#5函數�,去掉%SystemRoot%\system32\linkinfo.dll的系統保護�����,并拷貝為%SystemDriver%\11.vxd�,釋放病毒文件�����,替換linkinfo.dll��。
12.遍歷磁盤,在每個磁盤下創建AUTORUN.INF和ZS.PIF。
病毒創建文件:
%SystemDriver%\shiew.dll
%SystemRoot%\Fonts\pci.sys
%Temp%\nnn1.tmp
%SystemRoot%\fonts\softic.sys
%SystemRoot%\Fonts\best.ini
X:\ AUTORUN.INF
X:\ ZF.PIF
X移動介質。
病毒刪除文件:
%SystemDriver%\shiew.dll
%SystemRoot%\Fonts\pci.sys
%SystemRoot%\fonts\softic.sys
病毒替換文件:
%SystemRootr%\system32\linkinfo.dll
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[安全軟件]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pci
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\softic
