局域网感染者

Backdoor.Win32.Wuca.a

捕获时间

2010-4-30

危害等级

中

病毒症状

    该样本是使用“VC ”编写的后门程序，由微点主动防御软件自动捕获，采用“FSG”加壳方式，企图躲避特征码扫描，加壳后长度为“9,232”字节，图标为“
”，病毒扩展名为“exe”，主要通过“漏洞溢出”、“文件捆绑”、“下载器下载”、“网页挂马”等方式传播，病毒主要目的是篡改用户主页，下载安装病毒木马，控制用户机器。
　 用户中毒后，会出现网络速度缓慢，CPU占用率高，出现大量未知进程，浏览器主页被锁定等现象。

感染对象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

传播途径

漏洞溢出、网页木马、文件捆绑、下载器下载

防范措施

已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知木马“，请直接选择删除处理（如图1）；

图1 微点主动防御软件自动捕获未知病毒（未升级）

如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现木马"Backdoor.Win32.Wuca.a”，请直接选择删除（如图2）。

图2   微点主动防御软件升级后截获已知病毒

未安装微点主动防御软件的手动解决办法：

1.手动结束进程：svhost.exe

2.手动删除以下文件：

%SystemRoot%\system\svhost.exe
%SystemRoot%\Fonts\nsa.ini
%SystemRoot%\Tasks\safetray.exe

3.手动删除文件夹：%SystemDriver%\sunlei.exe\

4.手动删除以下注册表项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run
名称：360safetray
数值：C:\WINDOWS\system\svhost.exe

5.将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command默认项数值中最后的网址去掉。将HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main中Start Page的数据改为自己需要的首页。

6.用正常hosts文件替换当前%SystemRoot%\system32\drivers\etc\hosts

变量声明：

　　%SystemDriver%　　　　　　　系统所在分区，通常为“C:\”
　　%SystemRoot%　　　　　　　　WINDODWS所在目录，通常为“C:\Windows”
　　%Documents and Settings%　　用户文档目录，通常为“C:\Documents and Settings”
　　%Temp%　　　　　　　　　　　临时文件夹，通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
　　%ProgramFiles%　　　　　　　系统程序默认安装目录，通常为：“C:\ProgramFiles”

病毒分析：

(1)病毒提升自身权限，获取系统路径，在%SystemDriver%下创建一个以sunlei.exe命名的文件夹。比较自身是否在系统目录运行，如
果是则继续执行，如果不是则将自身复制到%SystemRoot%\system\路径下，并命名为svhost.exe，试图伪装成正常系统文件svchost.exe来欺骗用户。复制完成后运行%SystemRoot%\system\svhost.exe，并调用命令行删除病毒源文件自身。
(2)%SystemRoot%\system\svhost.exe运行后，等待网络连接，如果网络可用则从指定网址下载包含 病毒下载病毒配置文件保存为%SystemRoot%\Fonts\nsa.ini。
(3)读取%SystemRoot%\Fonts\nsa.ini中信息，改写注册表项，劫持浏览器首页为病毒指定的网址。
(4)提升自身权限，删除系统原有的%SystemRoot%\system32\drivers\etc\hosts文件，重新写入hosts文件，屏蔽大量网址。
(5)打开局域网服务，释放病毒文件%SystemRoot%\Tasks\safetray.exe，通过该程序对局域网内其他用户进行漏洞攻击，致使受攻击者自动从指定网址下载病毒程序。
(6)修改注册表，加载%SystemRoot%\Tasks\safetray.exe为开机自启动项。

病毒创建文件：

%SystemRoot%\system\svhost.exe
%SystemRoot%\Fonts\nsa.ini
%SystemRoot%\Tasks\safetray.exe

病毒创建进程：

svhost.exe

病毒创建注册表：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run
名称：360safetray
数值：C:\WINDOWS\system\svhost.exe

病毒修改注册表：

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
原数值后加入网址：http://www.07129.com/
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
名称：Start Page
数据：http://www.07129.com/

病毒删除文件：

病毒源文件

病毒访问网络：

http://b.db***.com/b.jpg
http://abn.88**.org/q/pg.exe