Board logo

标题: 蠕虫程序Worm.Win32.AutoRun.afe [打印本页]
作者: pioneer     时间: 2008-1-23 18:04    标题: 蠕虫程序Worm.Win32.AutoRun.afe

病毒名称

Worm.Win32.AutoRun.afe

捕获时间

2008-01-23

病毒症状

    该程序是使用Delphi编写的蠕虫程序,程序未加壳,长度为25,600字节,图标为Windows默认可执行文件图标,病毒扩展名为exe,主要通过网页木马、文件捆绑、移动存储介质方式传播。

病毒分析

    该样本程序被执行后,拷贝自身到%systemroot%\system32目录下,重命名为chostbl.exe;
将目录%SystemRoot%\system32下的系统文件urlmon.dll拷贝到相同目录下,重命名为lovesbl.dll(病毒在执行下载时将加载此dll文件);
调用SCM写注册表项将chostbl.exe注册成名为AnHao_VIP_CAHW的服务,通过使用相关函数启动被注册的服务;
通过命令行net stop关闭服务sharedaccess(共享访问服务);
遍历进程: 360tray.exe、360safe.exe、runiep.exe将其关闭,并检测当前进程中是否存在AVP.exe,若存在修改当前系统时间,使其不能正常运行;
枚举窗口查找窗口名中含有如下字符的窗口,通过发送退出消息将其关闭;开启一线程每隔3ms查找窗口类名为: AVP.AlertDialog、AVP.Product_Notification、AVP.Product_Noti的窗口,通过发送消息WM_CLOSE将其关闭;
创建svchost.exe进程壳,申请内存空间将病毒一部分代码写入,通过相关API函数激活病毒代码作为该进程的主线程,以逃避杀毒软件的查杀,并访问如下恶意网站下载其它木马程序到本地C:\Documents and Settings目录下,分别命名为servciesa.exe、servciesb.exe、servciesc.exe、servciesd.exe、servciese.exe,通过API函数ShellExecuteA将其运行,盗取用户帐号信息;
遍历盘符在移动存储介质中释放隐藏病毒文件sbl.exe和autorun.inf,使用Windows自动播放功能来运行并传播病毒。

感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页木马,文件捆绑,移动存储介质

安全提示

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您“发现未知间谍软件”,请直接选择删除处理(如图1);



如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现“Worm.Win32.AutoRun.afe”,请直接选择删除(如图2)。



对于未使用微点主动防御软件的用户,微点反病毒专家建议
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、建议关闭U盘自动播放,具体操作步骤:开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
4、开启windows自动更新,及时打好漏洞补丁。
作者: pioneer     时间: 2008-1-23 18:05
技术细节

病毒查找的字符
防火墙
卡卡
江民
金山
任务管理器
木马清道夫
木马克星
超级巡警
NOD32核心
安全
安全卫士
木马杀客
NOD32内核
OD
微点

病毒下载列表
http://***.0fish.cn/1.exe
http://***.0fish.cn/2.exe
http://***.0fish.cn/3.exe
http://***.0fish.cn/4.exe
http://***.0fish.cn/5.exe



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn