微点交流论坛

标题: U盘蠕虫Worm.Win32.AutoRun.fjz [打印本页]

作者: pioneer 时间: 2008-9-8 15:02 标题: U盘蠕虫Worm.Win32.AutoRun.fjz

Worm.Win32.AutoRun.fjz

捕获时间

2008-09-08

病毒摘要

该样本是使用“Delphi”编写的蠕虫程序，由微点主动防御软件自动捕获，采用“UPX”加壳方式试图躲避特征码扫描,加壳后长度为“17,920 字节”，图标为

，使用“ exe”扩展名，通过“网页木马”、“移动存储介质”等途径植入用户计算机，运行后感染可移动存储磁盘且下载其他木马到本地运行。

感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页木马、文件捆绑、移动存储介质

安全提示

　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”，请直接选择删除处理（如图1）；

　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现"Worm.Win32.AutoRun.fjz”，请直接选择删除（如图2）。

对于未使用微点主动防御软件的用户，微点反病毒专家建议：
1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。
2、建议关闭U盘自动播放，具体操作步骤：开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
4、开启windows自动更新，及时打好漏洞补丁。

作者: pioneer 时间: 2008-9-8 15:03
病毒分析

该样本程序被执行后，查询当前进程中是否存在“AVP.EXE”或含有“卡巴”字样的窗口,如存在则使用执行命令行“cmd.exe /c date 1989-12-01 ”修改系统时间，试图使其监控失效；拷贝自身到C:\Documents and Settings\All Users\「开始」菜单\程序\启动目录下重新命名为“svchost.exe”并执行；后使用批处理执行自删除。
被拷贝程序程序执行后，后台调用命令行删除安全模式相关注册表：

Quote:

cmd /c reg delete
hkey_local_machine\system\currentcontrolset\control\safeboot\minimla /f
cmd /c reg delete
hkey_local_machine\system\currentcontrolset\control\safeboot\network /f

查找窗口名或类名为如下字符的窗口，通过向其发送相关消息使其关闭退出：

Quote:

瑞星
金山
江民
诺顿

遍历磁盘文件删除扩展名为“gho”的文件，使用户不能通过“ghost”恢复系统；查找磁盘中文件扩展名为“htm”,“html”,“asp”,“aspx”,“php”,“jsp”的文件，打开文件将以下代码写入，感染网页文件进行传播。

Quote:

访问恶意网址“http://sy***01.199.53dns.com/mz/”读取下载列表“mm.txt”，根据列表下载病毒至%SystemRoot%\temp\目录下并执行下载的病毒。
枚举盘符在各分区和移动存储介质中释放隐藏文件“autorun.inf”以及病毒副本“svchost.exe” ，使用Windows自动播放功能来传播病毒。
其中autorun.inf文件内容如下：

Quote:

[AutoRun]
open=svchost.exe
shell\open\command=svchost.exe
shell\open\default=1
shell\explore=资源管理器(&x)
shell\explore\command=svchost.exe

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn