微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 病毒快报 » U盘蠕虫Worm.Win32.Autorun. fdf  

作者:
标题: U盘蠕虫Worm.Win32.Autorun. fdf
pioneer
超级版主




积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
#1  U盘蠕虫Worm.Win32.Autorun. fdf

Worm.Win32.Autorun. fdf

捕获时间

2008-08-15

病毒摘要

该样本是使用“Delphi”编写的“蠕虫程序”,由微点主动防御软件自动捕获,采用“UPACK”加壳方式试图躲避特征码扫描,加壳后长度为“63,916 字节”,图标为,使用“exe”扩展名,通过“网页木马”、“移动存储介质”等方式进行传播,植入用户计算机后下载其他木马程序到本地执行。



感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页木马、文件捆绑、移动存储介质

安全提示

  已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);




  如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"Worm.Win32.Autorun. fdf”,请直接选择删除(如图2)。




    对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、建议关闭U盘自动播放,具体操作步骤:开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
4、开启windows自动更新,及时打好漏洞补丁。

※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
2008-8-15 14:51
查看资料  发短消息   编辑帖子
pioneer
超级版主




积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
#2  

病毒分析

该样本程序被执行后,拷贝自身到%SystemRoot%\system32目录下重新命名为“lljyn080802.exe”,在其同目录下释放动态链接库文件“lljyn32.dll”并修改上述文件创建时间使其不易被发现。使用函数 “WinExec”执行的上述文件,修改如下注册表健值使得开机自启动,病毒使用批处理执行自删除。

  Quote:
项:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\
键值:lljyn_df
指向数据:C:\WINDOWS\system\lljyn080802.exe

“lljyn080802.exe”被执行后,遍历进程查找进程“AVP.EXE”,如果进程存在则修改系统时间为“1987年”,试图使其暂时失效,待病毒部分代码执行完毕后重新设置系统时间为正常,遍历进程查找如下进程,如存在调用命令行“ntsd -c q -p”进行终止

  Quote:
RUNIEP.EXE
kregex.exe
kvxp.kxp
360tray.exe

枚举盘符在各分区和移动存储介质中释放隐藏病毒文件“auto.exe”和“autorun.inf”, 使用Windows自动播放功能来传播病毒,修改如下注册表键值使调用浏览器时不弹出浏览器关联设置对话框

  Quote:
项:HKCU\Software\Microsoft\Internet Explorer\Main\
健值:Check_Associations
指向数据:no

使用API函数“WinExec”以隐藏方式启动IE,枚举窗口类“IEFrame”查找iexplore.exe进程被打开,申请内存空间将动态库“lljyn32.dll”写入,使用远程线程激活病毒代码,被植入的线程执行后访问恶意网站下载病毒程序并运行。

[ Last edited by pioneer on 2008-8-22 at 13:53 ]

※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
2008-8-15 14:52
查看资料  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号