捕获时间
2008-12-4
病毒摘要
该样本是使用“ VC ”编写的蠕虫程序,由微点主动防御软件自动捕获,程序未加壳,文件长度为“95,556字节”,图标为“
”,使用“exe”扩展名,通过“网页木马”、“文件捆绑”、“移动存储介质”等途径植入用户计算机,运行后感染文件并联网下载其他木马到本地运行。
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马、文件捆绑、移动存储介质
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);
图1 主动防御自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"Worm.Win32.AutoRun.imd”,请直接选择删除(如图2)。
图2 升级后截获已知病毒
对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、建议关闭U盘自动播放,具体操作步骤:开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
4、开启windows自动更新,及时打好漏洞补丁。
病毒分析
该样本程序被执行后,创建名为“fuall”的互斥体,防止程序的再次调用,拷贝自身到%SystemRoot%\System32\与%SystemRoot%\System32\dllcache目录下,名称分别为“xpserve.exe”、“lsoss.exe”,并修改“xpserve.exe”文件属性为“隐藏”。
修改如下注册表健值实现病毒随机启动、不显示隐藏文件、禁止使用DOS程序、禁止使用注册表编辑器、屏蔽[Internet选项]的[安全]选项卡:
| |
项:HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
健值:System
指向数据:%System%\dllcache\lsoss.exe"
项:HKCU\ Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
健值:ShowSuperHidden
指向数据:1
项:HKCU\ Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced \Folder
\Superhidden
健值:type
指向数据:checkbox
项:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
健值:NoCommon Groups
指向数据:1
项:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WinOld-App\Disabled
健值:Disabled
指向数据:1
健值:NoRealMode
指向数据:1
项:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
健值:DisableRegistryTools
指向数据:1
项:HKCU\Software\Policies\Microsoft\Internet Explorer\Control Pane
健值:SecurityTab
指向数据:1 |
|
删除注册表相关键值破坏安全模式,阻止用户进入安全模式:
| |
项:
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
项:
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
项:
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
项:
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} |
|
删除映象劫持、计算机管理CLSID、注册表信息文件所对应的注册表健值:
| |
项:
HKLM\ Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
项:
HKCU\Software\Policies\Microsoft\MMC\{58221C66-EA27-11CF-ADCF-00AA00A80033}
项:
HKLM\ Software\Classes\regfile\shell\open\command |
|
遍历非系统盘所有盘符的 “exe”文件,重写替换文件头内容与病毒自身文件内容一致,并删除“gho”类型文件,达到破坏用户资料目的。
等待联网状态访问下列网址下载木马到%SystemRoot%\system32\目录下,名称为
“xpserve.execnd1.exe”,下载后自动调用运行木马。
| |
| http ://www.k***k.cn/up.exe |
|
调用系统API函数“Sleep”暂隔200000ms访问下列加密的网址,实现动态访问指定的广告链接:
| |
| http ://www.k***k.cn/a3.htm |
|
网页脚本内容为:
| |
<script>
var m=5;
var n=Math.floor(Math.random()* m 1)
switch(n)
{
case 1:
location='http://www.love78.cn/zhou/index2.htm'
break;
case 2:
location='http://www.love78.cn/zhou/index3.htm'
break;
case 3:
location='http://www.love78.cn/zhou/index4.htm'
break;
case 4:
location='http://www.love78.cn/zhou/index5.htm'
break;
case 5:
location='http://www.5566dm.cn/index.htm'
break;
case 6:
location='http://www.love78.cn/zhou/index5.htm'
break;
}
</script> |
|
不断遍历磁盘,拷贝自身名为“net.exe”到磁盘分区根目录,并创建“autorun.inf”文件,均修改属性为“隐藏”,“autorun.inf”内容为:
| |
[Autorun]
open=net.exe
shell\open=打开(&O)
shell\open\Command=net.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=net.exe
shellexecute=net.exe
shell\Auto\command=net.exe |
|
