标题:
U盘蠕虫Worm.Win32.AutoRun.faj
[打印本页]
作者:
pioneer
时间:
2008-7-30 15:55
标题:
U盘蠕虫Worm.Win32.AutoRun.faj
Worm.Win32.AutoRun.faj
捕获时间
2008-07-30
病毒摘要
该样本是使用“VB”编写的蠕虫程序,由微点主动防御软件自动捕获,采用“UPX”加壳方式试图躲避特征码扫描,加壳后长度为“81,408字节”,图标为
,病毒扩展名为“exe”,主要通过“文件夹伪装”、“移动存储介质”的方式传播,中毒后的计算机在开启隐藏文件显示后,会给人一种同目录出现两个同名文件夹的错觉,导致用户错误拷贝,传播病毒。
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马、文件捆绑、移动存储介质
安全提示
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“病毒”,请直接选择删除处理(如图1);
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"Worm.Win32.AutoRun.faj”,请直接选择删除(如图2)。
对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、建议关闭U盘自动播放,具体操作步骤:开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
4、开启windows自动更新,及时打好漏洞补丁。
作者:
pioneer
时间:
2008-7-30 15:58
病毒分析
该样本程序被执行后,修改系统时间为“2004年”,使部分依赖时间机制的安全软件不能正常使用,使用映像劫持手段让如下安全软件无法启动:
Quote:
360rpt.exe
360safe.exe
autorunkiller
avp.exe
ccenter.exe
icesword.exe
rav.exe
nod32krn.exe
拷贝自身到%SystemRoot%\system32目录下覆盖原有文件“wuauclt1.exe”,在同一目录下释放动态库文件“w1nnet.dll”,修改如下注册表健值使得其开机自启动,同时把病毒原文件图标设置为透明。
项:
Quote:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\
键值:test
指向数据:C:\WINDOWS\system32\wuauclt1.exe
“wuauclt1.exe”运行后,修改如下注册表健值开启不显示隐藏文件功能。
项:
Quote:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\
键值:CheckedValue
指向变量:2(原值为1)
枚举盘符在所有分区中释放隐藏病毒文件“MSDOS.EXE”和“autorun.inf”,使用Windows自动播放功能来对病毒进行传播。
Quote:
[AutoRun]
shell\open=打开(&O)
shell\open\Command=MSDOS.EXE
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=MSDOS.EXE
拷贝系统动态库“UrlMon.dll”为“w1nnet.dll”,后台启动“IEXPLORE.EXE”进程,注入病毒代码将“w1nnet.dll”装载,调用相关导出函数访问恶意网址“
http://125.83.89.62/
**c/1.gif~30.gif”下载多种盗号木马到本地执行。
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
