捕获时间
2009-1-8
病毒摘要
该样本是使用“VC ”编写的蠕虫程序,由微点主动防御软件自动捕获,未加壳,样本长度为“431,104 字节”,图标为“”,病毒扩展名为“exe”,对于设置了不显示隐藏文件且隐藏已知扩展名的用户,有极大的欺骗性,主要通过“诱骗用户点击”、“文件捆绑”、“可移动磁盘传播”等方式传播,病毒主要目的为劫持用户搜索引擎,获取推广利益。
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马、文件捆绑、移动存储介质
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"Worm.Win32.Agent.jii”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、建议关闭U盘自动播放,具体操作步骤:开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
4、开启windows自动更新,及时打好漏洞补丁。
病毒分析
该样本程序被执行后,查找系统文件夹“%SystemRoot%\system32”内是否存在文件“winweb.exe”,不存在则复制自身至系统文件夹“%SystemRoot%\system32”重命名为“winweb.dat”,完成后将“winweb.dat”,复制为“winweb.exe”并释放动态库文件“webad.dll”、“iconhandle.dll”。
修改注册表,将动态库文件“webad.dll”注册为BHO,相关注册表项如下:
|
键:“HKEY_CLASSES_ROOT\ad.h.1\CLSID”
值:“@”
数据:“{73EF2588-E4D1-4623-9B45-E0BBD6B65E9C}”
键:“HKEY_CLASSES_ROOT\ad.h\CLSID”
值:“@”
数据:“{73EF2588-E4D1-4623-9B45-E0BBD6B65E9C}”
键:“HKEY_CLASSES_ROOT\ad.h\CurVer”
值:“@”
数据:“ad.h.1”
键:“HKEY_CLASSES_ROOT\CLSID\{73EF2588-E4D1-4623-9B45-E0BBD6B65E9C}”
值:“@”
数据:“h Class”
键:“HKEY_CLASSES_ROOT\CLSID\{73EF2588-E4D1-4623-9B45-E0BBD6B65E9C}\InprocServer32”
值:“@”
数据:“C:\WINDOWS\system32\webad.dll”
键:“HKEY_CLASSES_ROOT\CLSID\{73EF2588-E4D1-4623-9B45-E0BBD6B65E9C}\ProgID”
值:“@”
数据:“ad.h.1”
键:“HKEY_CLASSES_ROOT\CLSID\{73EF2588-E4D1-4623-9B45-E0BBD6B65E9C}\TypeLib”
值:“@”
数据:“{5A0063A5-F6E9-4947-9D1C-9300CE1BB342}”
键:“HKEY_CLASSES_ROOT\CLSID\{73EF2588-E4D1-4623-9B45-E0BBD6B65E9C}\VersionIndependentProgID”
值:“@”
数据:“ad.h”
键:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{73EF2588-E4D1-4623-9B45-E0BBD6B65E9C}”
键:“HKEY_CLASSES_ROOT\TypeLib\{5A0063A5-F6E9-4947-9D1C-9300CE1BB342}\1.0”
值:“@”
数据:“ad 1.0 类型库”
键:“HKEY_CLASSES_ROOT\TypeLib\{5A0063A5-F6E9-4947-9D1C-9300CE1BB342}\1.0\0\win32”
值:“@”
数据:“C:\WINDOWS\system32\webad.dll”
键:“HKEY_CLASSES_ROOT\TypeLib\{5A0063A5-F6E9-4947-9D1C-9300CE1BB342}\1.0\HELPDIR”
值:“@”
数据:“C:\WINDOWS\system32” |
|
修改注册表,将系统TXT文件的图标指向“iconhandle.dll”,更换为“”,相关注册表项如下:
|
键:“HKEY_CLASSES_ROOT\AppID\{DD0AD1D0-6C36-4894-B38E-9E5D3392114D”
值:“@”
数据:“iconhandle”
键:“HKEY_CLASSES_ROOT\AppID\iconhandle.DLL”
值:“AppID”
数据:“{DD0AD1D0-6C36-4894-B38E-9E5D3392114D}”
键:“HKEY_CLASSES_ROOT\iconhandle.seticon.1\CLSID”
值:“@”
数据:“{AEFA7E78-CF7E-4550-829F-2C786A0070BF}”
键:“HKEY_CLASSES_ROOT\iconhandle.seticon\CLSID”
值:“@”
数据:“{AEFA7E78-CF7E-4550-829F-2C786A0070BF}”
键:“HKEY_CLASSES_ROOT\iconhandle.seticon\CurVer”
值:“@”
数据:“iconhandle.seticon.1”
键:“HKEY_CLASSES_ROOT\CLSID\{AEFA7E78-CF7E-4550-829F-2C786A0070BF}\InprocServer32”
值:“@”
数据:“C:\WINDOWS\system32\iconhandle.dll”
键:“HKEY_CLASSES_ROOT\CLSID\{AEFA7E78-CF7E-4550-829F-2C786A0070BF}\ProgID”
值:“@”
数据:“iconhandle.seticon.1”
键:“HKEY_CLASSES_ROOT\CLSID\{AEFA7E78-CF7E-4550-829F-2C786A0070BF}\TypeLib”
值:“@”
数据:“{581F1707-4AD0-4B7B-AD6E-057DB8F686F3}”
键:“HKEY_CLASSES_ROOT\CLSID\{AEFA7E78-CF7E-4550-829F-2C786A0070BF}\VersionIndependentProgID”
值:“@”
数据:“iconhandle.seticon”
键:“HKEY_CLASSES_ROOT\txtfile\shellEx\IconHandler”
值:“@”
数据:“{AEFA7E78-CF7E-4550-829F-2C786A0070BF}”
键:“HKEY_CLASSES_ROOT\TypeLib\{581F1707-4AD0-4B7B-AD6E-057DB8F686F3}\1.0”
值:“@”
数据:“iconhandle 1.0 类型库”
键:“HKEY_CLASSES_ROOT\TypeLib\{581F1707-4AD0-4B7B-AD6E-057DB8F686F3}\1.0\0\win32”
值:“@”
数据:“C:\WINDOWS\system32\iconhandle.dll”
键:“HKEY_CLASSES_ROOT\TypeLib\{581F1707-4AD0-4B7B-AD6E-057DB8F686F3}\1.0\HELPDIR”
值:“@”
数据:“C:\WINDOWS\system32” |
|
“webad.dll”注册为BHO后,将对用户搜索进行劫持,当网址包含“http://www.baidu.com/s”以及“http://www.google.cn/search”时,将用户搜索引擎统一修改为“http://www.google.cn”,读取用户搜索关键字后使用,并加入“client=pub-9647544675692062”的客户端标示进行搜索,为病毒制造者带来搜索引擎推广利益。
若系统文件夹内“%SystemRoot%\system32”存在文件“winweb.exe”,或用户被图标欺骗,并尝试再次执行样本,样本将启动“winweb.exe”, “winweb.exe”启动后检测自身位置,若为“%SystemRoot%\system32”目录下,则驻留系统内存,不断遍历可移动磁盘,发现后将可移动磁盘内全部文件夹设置为“系统、隐藏、只读”,并将自身复制至可移动磁盘,数目与原文件夹数目相同,名称与原文件夹同名,达到通过可移动磁盘传播自身的目的。