Board logo

标题: U盘蠕虫Worm.Win32.AutoRun.ele [打印本页]
作者: pioneer     时间: 2008-6-29 23:08    标题: U盘蠕虫Worm.Win32.AutoRun.ele

Worm.Win32.AutoRun.ele

捕获时间

2008-06-29

病毒摘要

该样本是使用VC编写的EXE程序,由微点主动防御软件自动捕获,采用unpack方式加壳,长度为16,187字节,图标为,病毒扩展名为exe。病毒主要用于“木马下载”

感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页,网络传播

安全提示

  已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知间谍软件”,请直接选择删除处理(如图1);



  如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现" Worm.Win32.AutoRun.ele”,请直接选择删除(如图2)。



    对于未使用微点主动防御软件的用户,微点反病毒专家建议
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、建议关闭U盘自动播放,具体操作步骤:开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
4、开启windows自动更新,及时打好漏洞补丁。

[ Last edited by pioneer on 2008-6-29 at 23:09 ]
作者: pioneer     时间: 2008-6-29 23:15
病毒分析

病毒主程序
在注册表中写入以下内容:
查找进程avp.exe(卡巴斯基),如果存在,修改卡巴斯基的时间,使其失效
创建一个新线程,循环查找并关闭以下进程,防止被安全软件查杀:
        runiep.exe(瑞星IE防漏墙程序)
        kregex.exe(金山毒霸注册表修复工具)
        kvxp.kxp(江民KV杀毒软件主程序)
                360tray.exe(360安全卫士的托盘程序)
把自身复制到C:\windows\system\zydle080619.exe

创建键值,实现开机自启动:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run
键:zy_df
值:C:\windows\system\zydle080619.exe

创建新文件:
C:\windows\system\zydld32080619.dll(dll动态库文件)和
C:\windows\system\zydld32080619jt.dll(dll动态库文件)用来下载木马
两个文件内容完全相同

使用函数WinExec启动进程: C:\program files\internet explorer\iexplore.exe
向其中注入zydld32080619.dll文件,用来下载病毒
创建文件c:\dfDelmlljy.bat,用来自我删除

zydld32080619.dll文件

下载列表http://do****d.9234.net/mydownf.htm
到本地C:\WINDOWS\mydownf.htm

然后从列表中下载以下文件,并运行:
网址:http://60.****11.42/456456.exe
本地文件:C:\windows\456456.exe
网址:http://60.***11.42/ha_80021.exe
本地文件:C:\windows\ha_80021.exe
网址:http://60.***.11.42/gogo1.htm
本地文件:C:\windows\ gogo1.htm
网址:http://partner.*****.com/partner/download.php?id=6657
本地文件:C:\windows\ FunshionInstall_C6657.exe
网址:http://download.uu***see.com/pop1/zcom/UUSEE_zcom_Setup_38318.exe
本地文件:C:\windows\ UUSEE_zcom_Setup_38318.exe
网址:http://1.ads****5.com/rj/myself.exe
本地文件:C:\windows\ myself.exe



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn