捕获时间

2008-11-14

病毒摘要

该样本是使用“ VC”编写的蠕虫程序，由微点主动防御软件自动捕获，采用“PEtite”加壳方式试图躲避特征码扫描,加壳后长度为“16,912 字节”，图标为，使用“exe”扩展名，通过“网页木马”、“移动存储介质”、“压缩包感染”、“ 局域网传播”等途径植入用户计算机，运行后下载其他木马程序到本地运行。

感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页木马、文件捆绑、移动存储介质

防范措施

已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知病毒”，请直接选择删除处理（如图1）；

   图1 主动防御自动捕获未知病毒（未升级）

如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现"Worm.Win32.AutoRun.ibtd”，请直接选择删除（如图2）。

     
图2   升级后截获已知病毒  

对于未使用微点主动防御软件的用户，微点反病毒专家建议：
1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。
2、建议关闭U盘自动播放，具体操作步骤：开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
4、开启windows自动更新，及时打好漏洞补丁。

病毒分析

该样本程序被执行后，删除目录%SystemRoot%\system32\下“mfc71.dll”文件，修改自身文件属性为“隐藏”，修改系统时间年份为2004，调用系统“cacls.exe”提升下列文件(夹)权限为everyone完全控制权限：目录%SystemRoot%\system32\下“packet.dll”,“pthreadVC.dll”,“wpcap.dll”,“npptools.dll”,“wanpacket.dll”文件；%SystemRoot%\system32\drivers\下“npf.sys”，“acpidisk.sys”文件；文件夹%ALLUSERSPROFILE%\「开始」菜单\程序\启动。加载系统操作系统SFC功能动态连接库文件“sfc_os.dll”，查找其五号函数并调用实现对“beep.sys”, “wuauclt.exe”文件去除系统文件保护,修改系统“beep.sys”文件，成功后再次启动“Beep”服务实现对“Beep”服务的替换，驱动加载后恢复系统SSDT表，解除计算机杀软的主动防御，达到自身保护的目的。
遍历查找下列安全软件进程，找到后尝试关闭进程：

遍历查找下列服务，一旦找到尝试停止服务：

遍历带下列文字的窗口，一旦找到尝试发送信息关闭窗口：

移动%SystemRoot%\system32\下“wuauclt.exe”文件，到%SystemDrive%下，名称改为“temp.temp”,移动成功后，拷贝自身为“wuauclt.exe”文件到%SystemRoot%\system32\与%SystemRoot%\system32\dllcache\目录下，并开启“wuauclt.exe”进程，尝试删除D:\Program Files\Kingsoft\Kingsoft Internet Security 2008\下“kasbrowsershield.dll”文件，运行“IEXPLORE.EXE”进程并将代码注入控制联网下载其他木马到C盘，名称分别对映为“1.pif”,“2.pif”,“3.pif”,“4.pif”,“5.pif” ,“6.pif”,“7.pif”,“8.pif”,“9.pif”,“10.pif”，成功后自动运行：

添加注册表启动项，达到开机自启动目的：

修改注册表破坏显示所有文件和文件夹，达到隐藏自身目的：

删除注册表破坏安全模式，阻止用户进入安全模式：

在注册表HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\下添加下列项,达到劫持大部分安全软件的目的：

不断遍历查找磁盘，拷贝自身名为“MSCL.pif”,并创建“AUTORUN.INF”文件，其内容如下：