» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 病毒快报 » 蠕虫程序Worm.Win32.AutoRun.pm   作者: 标题: 蠕虫程序Worm.Win32.AutoRun.pm pioneer 超级版主 积分 4563 发帖 4545 注册 2007-7-16 来自 BJ #1  蠕虫程序Worm.Win32.AutoRun.pm 病毒名称 Worm.Win32.AutoRun.pm 捕获时间 2007-12-18 病毒症状 该病毒是使用Delphi编写的蠕虫程序，程序未经过加壳，长度37,376字节，图标为Windows默认可执行文件图标，病毒扩展名为exe，主要通过网页木马、文件捆绑、移动存储介质等方式传播。 病毒分析     该样本程序被执行后，拷贝自身到%SystemRoot%\system32\目录下，重命名为Flower.exe；通过映像劫持手段重定向部分安全软件，当用户运行这些杀毒软件时便会运行病毒本身；创建spoolsv.exe进程，申请内存空间将病毒一部分代码写入，通过相关API函数激活病毒代码进行代码注入逃避杀毒软件的查杀，并访问恶意网站下载其它病毒程序到本地C:\并运行；通过查找注册表的方式确定IEXPLORE.EXE所在路径，之后开启一个IEXPLORE.EXE进程，访问恶意网站，等待50000ms后将其关闭；循环以下动作：遍历进程查找360tray.exe、360safe.exe将其结束；检测当前进程中是否存在AVP.exe，若存在修改当前系统时间，使其不能正常运行；枚举窗口查找窗口名中含有以下字符的窗口，通过发送WM_CLOSE、WM_DESTROY、WM_QUIT三个消息将其关闭；遍历盘符在各分区和移动存储介质中释放隐藏病毒文件test.exe和autorun.inf,使用Windows自动播放功能来运行并传播病毒。 感染对象 Windows 2000/Windows XP/Windows 2003 传播途径 网页木马,文件捆绑，移动存储介质传播 安全提示 已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理（如图1）； 如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现“Worm.Win32.AutoRun.pm”，请直接选择删除（如图2）。 对于未使用微点主动防御软件的用户，微点反病毒专家建议： 1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统； 2、建议关闭U盘自动播放，具体操作步骤：开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。 3、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。 4、开启windows自动更新，及时打好漏洞补丁。 ※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※ 2007-12-18 18:22 pioneer 超级版主 积分 4563 发帖 4545 注册 2007-7-16 来自 BJ #2   技术细节 被映像劫持的软件: 360Safe.exe  360tray.exe  adam.exe  AgentSvr.exe  AppSvc32.exe  autoruns.exe  avgrssvc.exe AvMonitor.exe  avp.com  avp.exe  CCenter.exe  ccSvcHst.exe  FileDsty.exe  FTCleanerShell.exe HijackThis.exe  IceSword.exe  iparmo.exe  Iparmor.exe  isPwdSvc.exe  kabaload.exe  KaScrScn.SCR KASMain.exe  KASTask.exe  KAV32.exe  KAVDX.exe  KAVPFW.exe  KAVSetup.exe  KAVStart.exe  KISLnchr.exe KMailMon.exe  KMFilter.exe  KPFW32.exe  KPFW32X.exe  KPFWSvc.exe  KRegEx.exe  KRepair.COM  KsLoader.exe KVCenter.kxp  KvDetect.exe  KvfwMcl.exe  KVMonXP.kxp  KVMonXP_1.kxp  kvol.exe  kvolself.exe  KvReport.kxp KVSrvXP.exe  KVStub.kxp  kvupload.exe  kvwsc.exe  KvXP.kxp  KWatch.exe  KWatch9x.exe  KWatchX.exe  loaddll.exe MagicSet.exe  mcconsol.exe  mmqczj.exe  mmsk.exe  NAVSetup.exe  nod32krn.exe  nod32kui.exe  PFW.exe PFWLiveUpdate.exe  QHSET.exe  Ras.exe  Rav.exe  RavMon.exe  RavMonD.exe  RavStub.exe  RavTask.exe  RegClean.exe rfwcfg.exe  RfwMain.exe  rfwProxy.exe  rfwsrv.exe  RsAgent.exe  Rsaupd.exe  runiep.exe  safelive.exe  scan32.exe shcfg32.exe  SmartUp.exe  SREng.exe  symlcsvc.exe  SysSafe.exe  TrojanDetector.exe  Trojanwall.exe  TrojDie.kxp UIHost.exe  UmxAgent.exe  UmxAttachment.exe  UmxCfg.exe  UmxFwHlp.exe  UmxPol.exe  UpLive.EXE  WoptiClean.exe zxsweep.exe  sos.exe  auto.exe  UFO.exe  AutoRun.exe  XP.exe  taskmgr.exe  ShuiNiu.exe  Systom.exe  svch0st.exe 要关闭窗口标题中所含字符： 防火墙 任务管理器 木马 超级巡警 主线程 微点 NOD32 安全卫士 NOD32 内核 杀毒 ※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※ 2007-12-18 18:28 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号