網絡蠕蟲
Worm.Win32.AutoRun.wjo
捕獲時間
2011-06-14
危害等級
中
病毒癥狀
該樣本是使用“vc ”編寫的網絡蠕蟲程序���,由微點主動防御軟件自動捕獲,采用“UPX”加殼方式���,企圖躲避特征碼掃描�,加殼后長度為長度為“86,149 字節”��,圖標為“
”�,病毒擴展名為“.exe”�����,病毒主要通過“文件捆綁”、“下載器下載”����,“網頁掛馬”等方式傳播��,病毒主要目的劫持瀏覽器并篡改主頁訪問黑客指定的網站,下載大量文件到用戶本地計算機����,用戶中毒后將出現系統運行緩慢����,出現未知進程����。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網頁掛馬、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶��,無須任何設置�,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒���。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1)
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現木馬"Worm.Win32.AutoRun.wjo”�����,請直接選擇刪除(如圖2)�����。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1.手動刪除以下文件
%SystemRoot%\system32\kirpawlutb
%SystemRoot%\system32\afjstjhmbh
%SystemDriver%\oqqfgptnqa.txt
%ProgramFiles%\Common Files\ocsoss.dll
%SystemDriver%\nxqjuelngl.jpg
X:\My Documamts.exe(X為可移動盤符)
2.刪除注冊表
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
鍵值: NeverShowExt
數據: 1
3.修改注冊表
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F986CC17-37C0-4585-B7D9-15F2161F0584}\shell\OpenHomePage\Command
鍵值: 數據: iexplore.exe
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄�����,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄����,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄��,通常為:“C:\ProgramFiles”
病毒分析:
1.獲得鍵盤類型��,設置自己的為"SeDebugPrivilege"����,以提升自己的權限���。遍歷磁盤獲得其屬性��,保存類型為固定分區��、移動設備和網絡設備的磁盤以便感染���。
2.在系統目錄下創建kirpawlutb和afjstjhmbh目錄����,并設置為隱藏屬性���,拷貝自身兩份分別到剛創建的兩個目錄下為:%ProgramRoot%\system32\kirpawlutb\explorer.exe和%ProgramRoot%\system32\afjstjhmbh\smss.exe,通過運行這兩個文件��。
3.在系統盤創建%SystemDriver%\oqqfgptnqa.txt����、%ProgramFiles%\Common Files\ocsoss.dll和%SystemDriver%\nxqjuelngl.jpg等文件并釋放配置文件及病毒代碼到以上文件中�����,創建目錄%SystemDriver%\EEQQ,在此目錄中釋放文件��,在所有可感染的其它固定分區�����、移動硬盤��、U盤、網絡設備創建X:\My Documamts.exe(X為相對應的盤符),設置以上所有文件為隱藏屬性并隱藏其擴展名�,設置系統隱藏文件不可見���。
4.修改注冊表鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F986CC17-37C0-4585-B7D9-15F2161F0584}\shell\OpenHomePage\Command
鍵值: 數據: iexplore.exe http://www.sfc***.com/?Activex72
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
鍵值: NeverShowExt數據: 1
5.加入自啟動鏈接%Documents and Settings%\All Users\「開始」菜單\程序\啟動\jaitjiwavb.lnk��,在桌面上創建多個惡意網站的IE鏈接,劫持瀏覽器并篡改主頁訪問黑客指定的網站����,下載大量文件到用戶本地計算機����。
病毒創建文件:
%SystemRoot%\system32\kirpawlutb
%SystemRoot%\system32\afjstjhmbh
%SystemDriver%\oqqfgptnqa.txt
%ProgramFiles%\Common Files\ocsoss.dll
%SystemDriver%\nxqjuelngl.jpg
X:\My Documamts.exe(X為固定磁盤�����、移動硬盤����、U盤�����、網絡設備盤符)
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F986CC17-37C0-4585-B7D9-15F2161F0584}\shell\OpenHomePage\Command
鍵值: 數據: iexplore.exe http://www.sfc***.com/?Activex72
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
鍵值: NeverShowExt數據: 1
病毒訪問網絡:
http://www.vol***.com/index.html?ie72-BT
http://www.sfc***.com/?Activex72
http://www.sfc***.com/taobao.htm
