蠕虫病毒

Worm.Win32.AutoRun.tbo

捕获时间

2009-12-9

危害等级

高

病毒症状

　该样本是使用“Microsoft Visual C/C ”编写的“蠕虫病毒”，由微点主动防御软件自动捕获，采用“WinUpack”加壳方式试图躲避特征码扫描,加壳后长度为56,075字节，图标为“”， 使用“ exe”扩展名，通过网页木马、下载器下载、移动介质(如U盘)等方式进行传播。
    用户中毒后，会出现计算机及网络运行缓慢，安全软件退出等现象。

感染对象

Windows 2000/Windows XP/Windows 2003/Windows Vista

传播途径

网页挂马、文件捆绑、下载器下载

防范措施

已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知间谍软件”，请直接选择删除处理（如图1）；

图1 微点主动防御软件自动捕获未知病毒（未升级）

如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现"Worm.Win32.AutoRun.tbo”，请直接选择删除（如图2）。

图2   微点主动防御软件升级后截获已知病毒

未安装微点主动防御软件的手动解决办法：

1、手动删除以下文件：

%SystemRoot%\programs\ini.exe
%SystemRoot%\programs\wscok32.dll
%SystemRoot%\programs\fuckme.vbs
%SystemRoot%\Tasks\安装.bat
X:\ recycle.{645FF040-5081-101B-9F08-00AA002F954E}
X:\ AutoRun.inf
X移动介质。

2、手动删除以下注册表键：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\ {H8I22RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}

变量声明：

　　%SystemDriver%　　　　　　　系统所在分区，通常为“C:\”
　　%SystemRoot%　　　　　　　　WINDODWS所在目录，通常为“C:\Windows”
　　%Documents and Settings%　　用户文档目录，通常为“C:\Documents and Settings”
　　%Temp%　　　　　　　　　　　临时文件夹，通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
　　%ProgramFiles%　　　　　　　系统程序默认安装目录，通常为：“C:\ProgramFiles”

病毒分析

1.病毒运行后首先查看自己路径是否为"%SystemRoot%\programs\ini.exe",如果不是，就拷贝自己为ini.exe并执行，释放文件"%SystemRoot%\programs\desktop.exe"，然后退出当前进程，自我删除。
2.如果路径为"%SystemRoot%\programs\ini.exe"，创建名称为"shors1.3"的互斥量，创建线程，遍历进程查找360tray.exe和360safebox.exe，如果找到就结束其进程；查找进程rfwproxy.exe、rfwmain.exe、frwsrv.exe、navapsvc.exe、navapw32.exe、ccenter.exe、ulibcfg.exe等进程，如果找到就结束其进程。
3.创建线程，监视窗口，发送消息关闭含有杀毒、worm、卡巴斯基、超级巡警、江民、离线升级包、金山、Anti、Firewall、检测、病毒、查杀、狙剑、主动防御、微点、绿鹰、感染、监视、专杀等标题的窗口。
4.创建线程，查找并发送消息关闭类名为"AfxControlBar42s"的窗口。
5.创建线程，遍历查找移动磁盘，如果找到就在该盘下创建AUTORUN.inf和recycle.{645FF040-5081-101B-9F08-00AA002F954E}。
6.创建线程，释放脚本文件"%SystemRoot%programs\fuckme.vbs"，创建注册表项。
7.创建线程，访问网络，提交统计信息。
8.释放动态库文件"%SystemRoot%\programs\wscok32.dll"。
9.创建线程，遍历查找扩展名为html、htm、aps、aspx、php、jsp文件，对这些文件进行感染，查找并删除扩展名称为gho的文件。
10.创建线程，对局域网进行弱口令猜测，如果成功，就拷贝自己到目标机器重命名为kav32.exe并执行。
11.连接网络，下载病毒文件。
12.创建线程，下载病毒列表，根据列表下载病毒到本地执行。
13.创建线程，遍历文件，将释放的wsock32.dl拷贝到%ProgramFiles%文件夹。
14.创建线程，拷贝自己到task目录下，查找扩展名为rar、zip、tgz、cab和tar的文件，将自己添加进这些文件。
15.删除安全模式相关注册表项。

病毒创建文件：

%SystemRoot%\programs\ini.exe
%SystemRoot%\programs\wscok32.dll
%SystemRoot%\programs\fuckme.vbs
%SystemRoot%\Tasks\安装.bat
X:\ recycle.{645FF040-5081-101B-9F08-00AA002F954E}
X:\ AutoRun.inf
X移动介质。

病毒创建注册表：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\ {H8I22RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}

病毒删除注册表：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

病毒访问网络：

http://8.****.cn/me.exe
http://8.****.cn/down.txt
http://8.****.cn/get.asp