Board logo

标题: U盘蠕虫Worm.Win32.AutoRun.evj [打印本页]
作者: pioneer     时间: 2008-7-12 17:24    标题: U盘蠕虫Worm.Win32.AutoRun.evj

Worm.Win32.AutoRun.evj

捕获时间

2008-07-12

病毒摘要

该样本是使用Delphi编写的蠕虫程序,由微点主动防御软件自动捕获,采用NSPack加壳方式试图躲避特征码扫描,加壳后长度为303,121字节,图标为
,病毒扩展名为exe,主要通过网页木马、文件捆绑与移动存储介质的方式传播,病毒主要作为被入侵主机的后门使用。

感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页木马、文件捆绑、移动存储介质

安全提示

  已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知间谍软件”,请直接选择删除处理(如图1);




  如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"Worm.Win32.AutoRun.evj”,请直接选择删除(如图2)。




    对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、建议关闭U盘自动播放,具体操作步骤:开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
4、开启windows自动更新,及时打好漏洞补丁。
作者: pioneer     时间: 2008-7-12 17:26
病毒分析

该样本程序被执行后,查找%SystemRoot%\system32\drivers目录下是否存在驱动文件klif.sys,如果存在则修改当前系统时间,使部分杀毒软件不能正常使用;拷贝自身到%ProgramFiles%\Common Files\Microsoft Shared\MSINFO目录下,重命名为“Recyc1ed.exe”,修改文件属性为隐藏、系统;调用SCM写注册表,将病毒拷贝“Recyc1ed.exe”注册成名为“Windows Audios”的服务,使用相关API函数启动被注册的服务;遍历盘符在移动存储介质中释放隐藏病毒文件Recyc1ed.exe和autorun.inf,使用Windows自动播放功能来传播病毒;使用API函数CreateProcessA运行“Recyc1ed.exe”;以批处理的形式将病毒原文件删除;

  Quote:
项:HKLM\SYSTEM\CurrentControlSet\Services\Windows Audios\
键值:DisplayName
指向数据:Windows Audios
项:HKLM\SYSTEM\CurrentControlSet\Services\Windows Audios\
键值:Description
指向数据:Windows System CCenter.
项:HKLM\SYSTEM\CurrentControlSet\Services\Windows Audios\
键值:ImagePath
指向文件:%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\Recyc1ed.exe
项:HKLM\SYSTEM\CurrentControlSet\Services\Windows Audios\
键值:Start
指向数据:02

autorun.inf文件内容如下:
[AutoRun]
open=Recyc1ed.exe
shellexecute=Recyc1ed.exe
shell\Auto\command=Recyc1ed.exe


“Recyc1ed.exe”运行后,拷贝自身到%SystemRoot%\system32目录下,重命名为“_Recyc1ed.exe”,修改文件属性为隐藏、系统;修改如下注册表健值开启Windows自动播放功能;

  Quote:
项:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
键值:NoDriveTypeAutoRun
指向变量:95   

使用API函数CreateProcessA运行%SystemRoot%\system32\mstsc.exe,申请内存空间将病毒部分代码写入,使用相关API函数激活病毒代码进行代码注入逃避常规杀毒软件的查杀,并通过相关API函数从网络空间上读取后门种植者所设置的IP地址和端口号进行反向连接,连接成功后使用API函数开启多个线程与黑客进行通讯,接受黑客的控制,使被病毒感染主机伦为傀儡主机。



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn