捕获时间

2009-4-1

病毒摘要

        该样本是使用“DELPHI”编写的蠕虫程序，由微点主动防御软件自动捕获，采用“NsPacK”加壳方式，企图躲避特征码扫描，加壳后长度为“13,824 字节”，图标为“”，病毒扩展名为“exe”，主要通过“文件捆绑”、“下载器下载”、“移动存储介质”等方式传播，病毒主要目的为下载大量病毒并运行。
        用户中毒后，会出现用户中毒后，会出现计算机及网络运行缓慢，安全软件无故关闭，各类软件、Windows无故报错，发现大量未知进程等现象。



感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

文件捆绑、下载器下载、移动存储介质

防范措施

已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“病毒”，请直接选择删除处理（如图1）；

          图1 微点主动防御软件自动捕获未知病毒（未升级）

如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现"Worm.Win32.AotoRun.gve”，请直接选择删除（如图2）。

          图2   微点主动防御软件升级后截获已知病毒

对于未使用微点主动防御软件的用户，微点反病毒专家建议：
1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。
2、建议关闭U盘自动播放，具体操作步骤：开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
4、开启windows自动更新，及时打好漏洞补丁。


未安装微点主动防御软件的手动解决办法：

1、用%SystemDriver%\ttmm.tep替换%SystemRoot%\spoolsv.exe和%SystemRoot%\system32\dllcache\spoolsv.exe

2、手动删除以下文件：

　　%SystemRoot%\dkmsskmgrs.dll
　　X:\AUTORUN.INF
X: \HBSP.PIF      (X：为任意盘符)

3、手动删除以下注册表值：
　　键：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\
　　值：internetnet
　　数据：%SystemRoot%\spoolsv.exe
键：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options(所有映像劫持)
4、手动修改以下注册表：
　　键：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\

hidden\showall
　　值：CheckedValue
　　数据：1
5、修复安全模式注册表

　　变量声明：

　　%SystemDriver%　　　　　　　系统所在分区，通常为“C:\”
　　%SystemRoot%　　　　　　　　WINDODWS所在目录，通常为“C:\Windows”
　　%Documents and Settings%　　用户文档目录，通常为“C:\Documents and Settings”
　　%Temp%　　　　　　　　　　　临时文件夹，通常为“C:\Documents and Settings\

当前用户名称\Local Settings\Temp”
　　%ProgramFiles%　　　　　　　系统程序默认安装目录，通常为：“C:\ProgramFiles”

病毒分析

（1）创建互斥，设置自身文件属性为系统属性和隐藏属性
（2）遍历进程，结束safeboxTray.exe进程
（3）删除文件%SystemRoot%\system32\mfc71.dll和%ProgramFiles%\Kingsoft\Kingsoft Internet Security 2008\kasbrowsershield.dll
（4）修改本地时间为2004
（5）设置以下文件，和自身为everyone完全控制权限
%SystemRoot%\system32\packet.dll
%SystemRoot%\system32\pthreadVC.dll
%SystemRoot%\system32\wpcap.dll
%SystemRoot%\system32\drivers\npf.sys
%SystemRoot%\system32\npptools.dll
%SystemRoot%\system32\drivers\acpidisk.sys
%SystemRoot%\system32\wanpacket.dll
%SystemRoot%\system32\drivers\etc\hosts
（6）停止server服务去掉%SystemRoot%\spoolsv.exe和%SystemRoot%\drivers\beep.sys的文件保护，恢复SSDT
（7）结束如下进程，和服务
360Safe.exe
360tray.exe
360rpt.EXE
Runiep.exe
RAv.exe
RSTray.exe
CCenter.EXE
RAVMON.EXE
RAVMOND.EXE
GuardField.exe
Ravxp.exe
GFUpd.exe
kmailmon.exe
kavstart.exe
KAVPFW.EXE
kwatch.exe
kav32.exe
kissvc.exe
UpdaterUI.exe
rfwsrv.exe
rfwProxy.exe
rfwstub.exe
RavStub.exe
rfwmain.exe
rfwmain.exe
TBMon.exe
nod32kui.exe
nod32krn.exe
KASARP.exe
FrameworkService.exe
scan32.exe
VPC32.exe
VPTRAY.exe
AntiArp.exe
KRegEx.exe
KvXP.kxp
kvsrvxp.kxp
kvsrvxp.exe
KVWSC.ExE
Iparmor.exe
Avp.EXE
VsTskMgr.exe
EsuSafeguard.exe
wuauclt.exe

sharedaccess
McShield
KWhatchsvc
KPfwSvc
Kingsoft Internet Security Common Service
Symantec AntiVirus
Symantec AntiVirus Drivers Services
Symantec AntiVirus Definition Watcher
Norton AntiVirus Server
（8）复制%SystemRoot%\system32\spoolsv.exe到%SystemDriver%\ttmm.tep，复制自身，覆盖%SystemRoot%\system32\spoolsv.exe和%SystemRoot%\system32\dllcache\spoolsv.exe
（9）启动server服务，删除hosts文件
（10）去掉%SystemRoot%\system32\ftp.exe的everyone权限
（11）创建IEXPLORE.EXE进程，插入IEXPLORE.EXE进程，复制urlmon.dll为dkmsskmgrs.dll，下载病毒
（12）创建注册表启动项，映像劫持杀毒软件和安全软件，删除安全模式相关注册表
（13）循环写AUTORUN.INF，和关闭以下关键字的窗口
卫士
杀
NOD32
Process
瑞星
木马
绿鹰
点
Mcafee
Firewall
virus
anti
民
worm
SReng
清理
警

　　病毒创建文件：
　　
　　%SystemRoot%\dkmsskmgrs.dll
　　X:\AUTORUN.INF
X: \HBSP.PIF      (X：为任意盘符)
　　病毒修改文件：
　　
　　%SystemRoot%\spoolsv.exe
%SystemRoot%\drivers\beep.sys
　　%SystemRoot%\system32\dllcache\spoolsv.exe

　　病毒删除文件：
　　
　　%SystemRoot%\system32\mfc71.dl
%ProgramFiles%\Kingsoft\Kingsoft Internet Security 2008\kasbrowsershield.dll
%SystemRoot%\system32\drivers\etc\hosts
　　
　　病毒创建注册表：
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\

explorer\run\internetnet
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

　　
　　病毒修改注册表：
　　
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\

advanced\folder\hidden\showall
　　
　　病毒删除注册表：
　　
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\
　　
　　病毒创建进程：
　　
　　IEXPLORE.EXE
　　
　　病毒访问网络：
　　
http://w.c**6.com/dd/1.exe
http://w.c**6.com/dd/2.exe
http://w.c**6.com/dd/3.exe
http://w.c**6.com/dd/4.exe
http://w.c**6.com/dd/5.exe
http://w.c**6.com/dd/6.exe
http://w.c**6.com/dd/7.exe
http://w.c**6.com/dd/8.exe
http://w.c**6.com/dd/9.exe
http://w.c**6.com/dd/10.exe