Board logo

标题: U盘蠕虫Worm.Win32.AutoRun.fiq [打印本页]
作者: pioneer     时间: 2008-8-29 14:55    标题: U盘蠕虫Worm.Win32.AutoRun.fiq

Worm.Win32.AutoRun.fiq

捕获时间

2008-08-29

病毒摘要

该样本是使用“VC” 编写且具有自动更新属性的“蠕虫程序”,由微点主动防御软件自动捕获,采用“upack”加壳方式试图躲避特征码扫描,加壳后长度为“13,948 字节”,图标为,使用“exe”扩展名,通过“网页木马”、“移动存储介质”等方式植入用户计算机,病毒主要下载其他木马程序。

感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页木马、文件捆绑、移动存储介质

安全提示

  已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知间谍软件”,请直接选择删除处理(如图1);




  如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"Worm.Win32.AutoRun.fiq”,请直接选择删除(如图2)。




    对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、建议关闭U盘自动播放,具体操作步骤:开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
4、开启windows自动更新,及时打好漏洞补丁。
作者: pioneer     时间: 2008-8-29 14:57
病毒分析

该样本程序被执行后,拷贝自身到%SystemRoot%\system32目录下重新命名为“143597D0.EXE”,在同一目录下释放动态链接库文件“59BE6AE0.DLL”;通过SCM将病毒拷贝“143597D0.EXE”注册成名为“938B0C10”的win32服务,使用相关API函数启动被注册的服务,病毒通过批处理执行自删除。

  Quote:
项:HKLM\SYSTEM\CurrentControlSet\Services \938B0C10\
键值:DisplayName
指向数据:938B0C10
项:HKLM\SYSTEM\CurrentControlSet\Services\938B0C10\
键值:ImagePath
指向数据:%SystemRoot%\system32\143597D0.EXE –k
项:HKLM\SYSTEM\CurrentControlSet\Services\938B0C10\
键值:Description
指向数据:59BE6AE0
项:HKLM\SYSTEM\CurrentControlSet\Services\938B0C10\
键值:Start
指向数据:02

病毒服务“143597D0.EXE”被启动后,遍历当前进程查看是否存在“AVP.EXE”,若存在则修改系统时间试图使其失效;查找进程“winlogon.exe”,提权后申请内存空间将动态链接库文件“59BE6AE0.DLL”写入执行远程线程在“winlogon.exe”内开启一病毒线程。
待病毒线程执行后查找进程“explorer.exe”将自身注入到其进程空间,以逃避常规杀毒软件的查杀;后台启动IE进程连接网络将用户的“MAC地址”,“所中病毒版本号”以及“计算机名”等信息发送到“http://ddos.fuc***ion.com/286/count/count.asp”并判断当前病毒版本是否为最新,如果不是则从网址“http://ddos.fuc***ion.com/286/soft/”下载“ddos.exe”(病毒新版本)至本地执行;同时访问恶意网址“http://google.n***dn.com/cao/”下载其他病毒至IE临时文件夹,修改如下注册表键值隐藏病毒体使其不被显示出来:

  Quote:
项:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\
键值:CheckedValue: 0x00000000(原值为0x00000001)

枚举盘符在各分区和移动存储介质中释放隐藏病毒文件auto.exe和autorun.inf,其中autorun.inf文件内容如下:

  Quote:
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe





欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn