“中華吸血鬼”變種
Net-Worm.Win32.Piloyd.f
捕獲時間
2010-5-6
危害等級
高
病毒癥狀
該樣本是使用“Visual C /C”編寫的蠕蟲程序,由微點主動防御軟件自動捕獲,采用“UPX”加殼方式試圖躲避特征碼掃描加殼后的長度為“26,112字節“,圖標為“
”,病毒擴展名為“exe”,主要通過“網頁掛馬”、“文件捆綁”、“下載器下載”、“移動存儲介質”等方式傳播。病毒主要目的下載病毒木馬在本地運行。
用戶中毒后,會出現出現網絡運行緩慢, Windows系統無故報錯死機,殺軟無故退出,無法進入安全模式等現象。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
移動介質、網頁木馬、文件捆綁、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬“,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現木馬"Net-Worm.Win32.Piloyd.f”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1.手動刪除以下文件:
%SystemRoot%\system32\qmgr.dll
X:\AutoRun.inf
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe (X為系統各個盤符)
2.手動修復以下注冊表鍵值:
將正常的安全模式注冊表值導入到如下位置:
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
3. 手動修復以下文件
拷貝正常的hosts文件到: %SystemRoot%\system32\drivers\etc\hosts
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析:
1、病毒運行后,查找注冊表鍵HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost,查看netsvcs服務是否開啟。
2、如果開啟,嘗試關閉此服務;如果此服務關閉,則查找查找%SystemRoot%\system32\qmgr.dll,調用sfc_os.#5函數去除系統文件保護,釋放病毒文件%SystemRoot%\system32\qmgr.dll,替換系統文件完成自啟動。
3、釋放%Temp%\Loopt.bat批處理文件,刪除病毒源文件。
4、在qmgr.dll中,比較自己是否在360tray.exe中,通過向設備"\\.\360SpShadow0"發送控制碼,結束360tray.exe進程。
5、創建線程,循環遍歷查找avp.exe、bdagent.exe、360tray.exe進程,如果找到則結束其進程。
6、修改注冊表相關鍵值,禁用任務管理器和禁用顯示隱藏文件;并通過刪除注冊表對應鍵值破壞安全模式
7、全盤查找后綴名為html、htm、asp、aspx、php、jsp格式的網頁文件,如果找到,往目標文件中插入類似<iframe src=http://www.xx.cn/1.htm width=0 height=0></iframe>的惡意代碼,并搜索后綴名為"gho、GHO、Gho"的文件,一旦找到,將其刪除。使用戶丟失系統備份數據。
8、病毒通過加載系統核心文件NTDLL.DLL,獲得相關API函數虛擬地址,操作PhysicalMemory內核對象,并提升權限,從而實現對物理內存的直接讀寫操作。
9、全盤查找后綴名為rar、zip、tgz、tar的壓縮包文件,一旦找到,利用%ProgramFiles%\WinRAR\Rar.exe程序將目標壓縮包解壓,將病毒程序"安裝.bat"復制到解壓出來的文件夾中,然后再壓縮回去,完成將病毒添加到壓縮包的功能
10.釋放%Temp%\NtHid.sys驅動文件,創建名稱為"NtHid"的服務,恢復SSDT,遍歷查找并結束安全軟件的進程,刪除安全軟件的相關文件,最后刪除驅動文件 。
11、修改%SystemRoot%\System32\drivers\etc\hosts文件,屏蔽安全廠商網址和百度等網址。
12、開啟網絡,從指定地址下載大量病毒到本地運行,并統計被感染主機相關信息,將用戶機器操作系統,MAC等信息發送到指定網址。
13、在每個盤符下生成文件AutoRun.inf,并創建目錄 recycle.{645FF040-5081-101B-9F08-00AA002F954E},釋放病毒文件recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe,并設置為隱藏,使用戶每次雙擊磁盤和打開資源管理器時自動運行病毒。
病毒創建文件:
%SystemRoot%\system32\qmgr.dll
%Temp%\Loopt.bat
%Temp%\NtHid.sys
X:\AutoRun.inf
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe (X為被感染盤符)
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\下建立大量安全軟件的映像劫持
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ NtHid
病毒刪除注冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
病毒刪除文件:
%Temp%\NtHid.sys
病毒修改文件:
%SystemRoot%\System32\drivers\etc\hosts
