捕获时间
2009-1-25
病毒摘要
该样本是使用“易语言”编写的蠕虫程序,由微点主动防御软件自动捕获,长度为“1,414,753 字节”,图标为“
 ”,对于设置了不显示隐藏文件且隐藏已知扩展名的用户,有极大的欺骗性,病毒扩展名为“exe”,主要通过“文件捆绑”、“欺骗用户点击”、“下载器下载”、“可移动存储介质”等方式传播,病毒主要目的为不断感染其他电脑及可移动介质刷取访问流量。
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
文件捆绑、欺骗用户点击、下载器下载、可移动存储介质
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"Worm.Win32.AutoRun.kkr”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、建议关闭U盘自动播放,具体操作步骤:开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
4、开启windows自动更新,及时打好漏洞补丁。
病毒分析
该样本程序被执行后,弹出对话框提示用户该样本为“无效目录”,企图迷惑用户:
在系统文件夹“%SystemRoot%\system32”内建立以下文件夹:
| |
372109
499E86
2B4FA4
A9C3FF
372109 |
|
复制自身至“%SystemRoot%\system32\372109”,重命名为“C00285.EXE”,释放易语言动态库文件:
| |
cnvpe.fne
dp1.fne
eAPI.fne
HtmlView.fne
internet.fne
krnln.fnr
shell.fne
spec.fne
RegEx.fnr |
|
在用户“开始”菜单,“所有程序”中的“启动”文件夹内建立快捷方式,指向:“%SystemRoot%\system32\372109\C00285.EXE”,实现开机启动。
“C00285.EXE”将尝试访问“www.baidu.com”测试联网状态,联网成功后尝试访问网络地址:
| |
http://x**.cn/u5.htm
http:// n-**.cn/c.htm
http:// w-**.cn/o.htm
http:// w-**.cn/o5.htm |
|
“C00285.EXE”将不断遍历用户磁盘类型,当用户主机连接到新的“可移动存储介质”时,将复制自身至可移动存储介质根目录,并重命名为“Recycle.exe”,建立“autorun.inf”,“autorun.inf”内容如下:
| |
[AutoRun]
open=Recycle.exe
shell\1=打开(&O)
shell\1\Command=Recycle.exe
shell\2\=浏览(&B)
shell\2\Command=Recycle.exe
shellexecute=Recycle.exe |
|
遍历目录内文件夹,将全部文件夹设置为系统、隐藏、只读,并复制自身为文件夹总个数,名称与各文件夹同名。企图欺骗用户点击,通过可移动介质感染其他主机,达到传播目的。
|
