捕获时间
2009-1-6
病毒摘要
该样本是使用“ VC ”编写的蠕虫程序,由微点主动防御软件自动捕获,采用“UPX”加壳方式试图躲避特征码扫描,加壳后长度为 “20,680字节”,图标为“
”,使用“exe”扩展名,通过“网页木马”、“文件捆绑”、“移动存储介质”等途径植入用户计算机,运行后下载其他木马到本地运行。
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马、文件捆绑、移动存储介质
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“病毒”,请直接选择删除处理(如图1);
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"Worm.Win32.AutoRun.jum”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、建议关闭U盘自动播放,具体操作步骤:开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
4、开启windows自动更新,及时打好漏洞补丁。
病毒分析
该样本程序被执行后,创建名为“DIANTUZI”的互斥体,防止自身的再次调用, 修改自身文件属性为“隐藏”与“系统”;删除目录%SystemRoot%\system32\下“mfc71.dll”文件, %ProgramFiles%\Kingsoft\Kingsoft Internet Security 2008\下“kasbrowsershield.dll”文件;修改系统时间年份为2004;调用系统“cacls.exe”命令提升下列文件与文件夹权限,赋予“everyone”用户完全控制权限:
| |
%SystemRoot%\system32\packet.dll
%SystemRoot%\system32\pthreadVC.dll
%SystemRoot%\system32\wpcap.dll
%SystemRoot%\system32\drivers\npf.sys
%SystemRoot%\system32\npptools.dll
%SystemRoot%\system32\drivers\acpidisk.sys
%SystemRoot%\system32\wanpacket.dll
%ALLUSERSPROFILE%\「开始」菜单\程序\启动 |
|
加载操作系统SFC功能动态连接库文件“sfc_os.dll”,查找其五号函数并调用,去除对“beep.sys”系统文件的保护, 将“beep.sys”文件读到内存缓冲区作备份,修改系统“beep.sys”文件,成功后启动“Beep”服务实现对“Beep”服务的替换,驱动加载后恢复系统SSDT表,解除计算机部分杀软的主动防御,达到自身保护的目的,成功后关闭此服务,并将内存缓冲区备份的原系统文件“beep.sys”进行回写,恢复“beep.sys”文件,遍历查找下列安全软件进程,找到后尝试关闭该安全进程:
| |
360Safe.exe
360tray.exe
360rpt.EXE
Runiep.exe
RAv.exe
RSTray.exe
CCenter.EXE
RAVMON.EXE
RAVMOND.EXE
GuardField.exe
Ravxp.exe
GFUpd.exe
kmailmon.exe
kavstart.exe
KACPFW.EXE
kwatch.exe
UpdaterUI.exe
rfwsrv.exe
rfwProxy.exe
rfwstub.exe
RavStub.exe
rfwmain.exe
TBMon.exe
nod32kui.exe
nod32krn.exe
KASARP.exe
FrameworkService.exe
scan32.exe
VPC32.exe
VPTRAY.exe
AntiArp.exe
KRegEx.exe
KvXP.kxp
kvsrvxp.kxp
kvsrvxp.exe
KVWSC.EXE
Iparmor.exe
Avp.EXE
VsTskMgr.exe
EsuSafeguard.exe
wuauclt.exe |
|
遍历查找下列服务,一旦找到尝试停止服务:
| |
sharedaccess
McShield
KWhatchsvc
KPfwSvc
Symantec AntiVirus
Symantec AntiVirus Drivers Services
Symantec AntiVirus Dedinition Watcher
McAfee Framework服务
Norton AntiVirus Server |
|
遍历查找包含下列文字的窗口,一旦找到尝试发送“WM_DESTROY” 与
“WM_CLOSE”消息关闭该窗口:
| |
安全卫士
专杀
NOD32
Process
进程
瑞星
木马
绿鹰
防御
微点
主动防御
防火墙
病毒
Mcafee
检测
Firewall
virus
anti
金山
江民
worm
SREng
清理
超级巡警
卡巴斯基
杀毒 |
|
移动%SystemRoot%\system32\下“spoolsv.exe”文件,到%SystemDrive%下,名称改为“tm.sa”,移动成功后,拷贝自身为“spoolsv.exe”文件到%SystemRoot%\system32\与%SystemRoot%\system32\dllcache\目录下,调用下列命令开启“server”服务:
尝试打开“MEIGANHUOYA”服务,一旦打开成功则关闭此服务,尝试使用下列命令删除“spooler”服务:
隐藏方式调用运行“IEXPLORE.EXE”进程,并向其进程内存空间中注入恶意可执行代码,达到运行中访问下列指定网络的效果,自动下载相应木马到%SystemDrive%\Documents and Settings\目录下,名称为“1ts.pif”,“2ts.pif”,“3t.pif”,“4.pif”,“5.pif” ,“6ts.pif”,“7.pif”,“8.pif”,“9ts.pif”,“10ts.pif”;目录%SystemDrive%\ Documents and Settings\下“ccdd.pif”,下载成功后自动运行:
| |
http://b. ***7.com/dd/1.exe
http://b. ***7.com/dd/2.exe
http://b. ***7.com/dd/3.exe
http://b. ***7.com/dd/4.exe
http://b. ***7.com/dd/5.exe
http://b. ***7.com/dd/6.exe
http://b. ***7.com/dd/7.exe
http://b. ***7.com/dd/8.exe
http://b. ***7.com/dd/9.exe
http://b. ***7.com/dd/10.exe
http://b.***7.com/dd/x.gif |
|
在注册表HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\下添加下列项,达到劫持大部分安全软件的目的:
| |
360rpt.EXE
360safe.EXE
360tray.EXE
360safebox.EXE
safeboxTray.EXE
AVP.EXE
AVP.COM
AvMonitor.EXE
CCenter.EXE
IceSword.EXE
Iparmor.EXE
KVMonxp.EXE
KVSrvXP.EXE
KVWSC.EXE
Navapsvc.EXE
Nod32kui.EXE
nod32krn.EXE
KRegEx.EXE
Frameworkservice.EXE
Mmsk.EXE
Ask.EXE
WOPTILITIES.EXE
Regedit.EXE
AutoRunKiller.EXE
VPC32.EXE
VPTRAY.EXE
ANTIARP.EXE
KASARP.EXE
RAV.EXE
kwatch.EXE
kmailmon.EXE
kavstart.EXE
KAVPFW.EXE
Runiep.EXE
GuardField.EXE
GFUpd.EXE
rfwmain.EXE
RavStub.EXE
rfwstub.EXE
rfwProxy.EXE
rfwsrv.EXE
msconfig.EXE
SREngLdr.EXE
ArSwp.EXE
RSTray.EXE
QQDoctor.EXE
TrojanDetector.EXE
RSTray.EXE
Trojanwall.EXE
TrojDie.KXP
PFW.EXE
HijackThis.EXE
AutoRun.EXE
键值均为:debugger
数据均指向:%SystemRoot%\system32\dllcache\spoolsv.exe |
|
删除注册表相关键值破坏安全模式,阻止用户进入安全模式:
| |
项:
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
项:
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} |
|
添加注册表启动项,达到开机自启动目的:
| |
项:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run
键值:internetnet
数据:%SystemRoot%\system32\spoolsv.exe |
|
删除系统启动项HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下指定安全软件的启动项键值,实现指定安全软件不能开机启动:
| |
键值:
360Safetray
360Safebox
KavStart
vptry
ccApp |
|
修改注册表破坏显示所有文件和文件夹,达到隐藏自身目的:
| |
项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
键值:CheckedValue
数据:2; |
|
不断遍历磁盘,拷贝自身名为“ZGP.PIF”到磁盘分区根目录,并创建“autorun.inf”文件,均修改属性为“隐藏”与“系统”,“autorun.inf”内容为:
| |
[AutoRun]
shell\open=打开(&O)
shell\open\Command=ZGP.PIF
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=ZGP.PIF |
|
