微点交流论坛 - 病毒快报 - 蠕虫病毒Worm.Win32.Generic.mu

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 病毒快报 » 蠕虫病毒Worm.Win32.Generic.mu

pioneer
超级版主

积分 4563
发帖 4545
注册 2007-7-16
来自 BJ

#1 蠕虫病毒Worm.Win32.Generic.mu

蠕虫病毒

Worm.Win32.Generic.mu

捕获时间

2012-09-04

危害等级

中

病毒症状

　该样本是使用“C\C++”编写的“蠕虫程序”，由微点主动防御软件自动捕获,长度为“40,960 ”字节，图标为“

”，使用“exe”扩展名，通过网络共享、网页挂马、下载器下载等方式进行传播。病毒主要目的是感染用户系统、访问恶意网址等。用户中毒后，会出现网络运行缓慢，网络端口开启，运行未知进程等现象。

感染对象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

传播途径

网络共享、网页挂马、下载器下载

防范措施

已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知间谍软件”，请直接选择删除处理（如图1）

图1 微点主动防御软件自动捕获未知病毒（未升级）

如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现网络蠕虫"Worm.Win32.Generic.mu”，请直接选择删除（如图2）

图2 微点主动防御软件升级后截获已知病毒

未安装微点主动防御软件的手动解决办法：

1.手动停止并删除服务

"DLANX"、"nvmini"

2.手动删除文件

"%SystemRoot%\linkinfo.dll"
"移动磁盘根目录\boot.exe"
"移动磁盘根目录\"Autorun.inf"
"%SystemRoot%\AppPatch\AcLue.dll"
"共享目录\setup.exe"
"%SystemRoot%\system32\drivers\nvmini.sys"
"%SystemRoot%\system32\drivers\IsDrv118.sys"
替换文件"%SystemRoot%\system32\drivers\etc\hosts"

3.修复所有被感染的*.exe文件

变量声明：

　　%SystemDriver%　　　　　　　系统所在分区，通常为“C:\”
　　%SystemRoot%　　　　　　　　WINDODWS所在目录，通常为“C:\Windows”
　　%Documents and Settings%　　用户文档目录，通常为“C:\Documents and Settings”
　　%Temp%　　　　　　　　　　　临时文件夹，通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
　　%ProgramFiles%　　　　　　　系统程序默认安装目录，通常为：“C:\ProgramFiles”

※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※

2012-9-4 09:38

pioneer
超级版主

积分 4563
发帖 4545
注册 2007-7-16
来自 BJ

#2 蠕虫病毒Worm.Win32.Generic.mu

病毒分析：

1.获取系统目录，创建文件"C:\WINDOWS\linkinfo.dll"，写入病毒数据。
2.加载"C:\WINDOWS\linkinfo.dll"到当前进程地址空间，调用其导出函数"#101"，该函数获取系统目录，创建文件"C:\WINDOWS\system32\drivers\IsDrv118.sys"，写入病毒数据。加载该文件到系统地址空间并执行，并删除该文件。
3.打开名字为"PNP#DMUTEX#1#DL5"的互斥对象，防止重复执行，提升当前进程权限为"SeDebugPrivilege（调试特权级）"。
4.创建进程快照，查找进程"explorer.exe",将文件"C:\WINDOWS\linkinfo.dll"注入到该进程地址空间并执行。
5."C:\WINDOWS\linkinfo.dll"运行之后，开辟多线程：
(1)将文件"C:\WINDOWS\AppPatch\AcLue.dll.new"拷贝重命名为"C:\WINDOWS\AppPatch\AcLue.dll"，并加载该文件到当前进程地址空间，获取其导出函数，之后删除"AcLue.dll.new"。
(2)监控所有可移动设备，并向其写入病毒文件"boot.exe"、"Autorun.inf"，并设置文件属性为只读、隐藏、系统。
(3)遍历所有磁盘，查找并感染除了目录"\QQ"、"LOCAL SETTINGS\TEMP\"、"\WINDOWS\"、"\WINNT\"以及名字为"zhengtu.exe"、"audition.exe"、"kartrider.exe"、"nmservice.exe"、"ca.exe"、"nmcosrv.exe"、"nsstarter.exe"、"maplestory.exe"、"neuz.exe"、"zfs.exe"、"gc.exe"、"mts.exe"、"hs.exe"、"mhclient-connect.exe"、"dragonraja.exe"、"nbt-dragonraja2006.exe"、"wb-service.exe"、"game.exe"、"xlqy2.exe"、"sealspeed.exe"、"asktao.exe"、"dbfsupdate.exe"、"autoupdate.exe"、"dk2.exe"、"main.exe"、"userpic.exe"、"zuonline.exe"、"config.exe"、"mjonline.exe"、"patcher.exe"、"meteor.exe"、"cabalmain.exe"、"cabalmain9x.exe"、"cabal.exe"、"au_unins_web.exe"、"大话西游.exe"、"xy2.exe"、"flyff.exe"、"xy2player.exe"、"trojankiller.exe"、"patchupdate.exe"、"ztconfig.exe"、"woool.exe"、"wooolcfg.exe"等之外的所有"*.exe"文件。
(4)提升当前进程权限为"SeDebugPrivilege（调试特权级）"，破坏瑞星卡卡安全助手文件"C:\WINDOWS\system32\drivers\RsBoot.sys"。
(5)向其他网络共享目录写入病毒文件"setup.exe"，并尝试登陆其他主机，并创建名字为"DLANX"的服务，执行映像指向"setup.exe"。
(6)强制结束进程"sxs.exe"、"logo1_.exe"、"fuckjacks.exe"、"spoclsv.exe"、"nvscv32.exe"、"svch0st.exe"、"c0nime.exe"、"iexpl0re.exe"、"ssopure.exe"、"upxdnd.exe"、"wdfmgr32.exe"、"spo0lsv.exe"、"ncscv32.exe"等多个病毒进程。
(7)将文件"C:\WINDOWS\system32\drivers\etc\hosts"移动重命名为"C:\WINDOWS\system32\drivers\etc\hosts.txt"，并用病毒文件替换该文件。
(8)已挂起的方式创建新进程""C:\Program Files\Internet Explorer\IEXPLORE.EXE" -nohome"，将病毒数据注入该进程地址空间并执行。
(9)创建文件"C:\WINDOWS\system32\drivers\nvmini.sys"，写入病毒数据，并创建名字为"nvmini"的服务，启动类型为自动，执行映像执行"C:\WINDOWS\system32\drivers\nvmini.sys"，之后启动此服务。

病毒创建文件:

"%SystemRoot%\linkinfo.dll"
"移动磁盘根目录\boot.exe"
"移动磁盘根目录\"Autorun.inf"
"%SystemRoot%\AppPatch\AcLue.dll"
"共享目录\setup.exe"
"%SystemRoot%\system32\drivers\nvmini.sys"
"%SystemRoot%\system32\drivers\IsDrv118.sys"
"%SystemRoot%\system32\drivers\etc\hosts"

病毒访问网络：

"http://info.95****.com/info.asp"

※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※

2012-9-4 09:42

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号