Board logo

标题: 蠕虫程序Net-Worm.Win32.AutoRun.b [打印本页]
作者: pioneer     时间: 2010-8-12 16:55    标题: 蠕虫程序Net-Worm.Win32.AutoRun.b

蠕虫程序

Net-Worm.Win32.AutoRun.b

捕获时间

2010-8-12

危害等级



病毒症状

  该样本是使用“C/C++”编写的蠕虫程序,由微点主动防御软件自动捕获,长度为“56,072”字节,图标为“”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“可移动存储器感染”、“局域网感染”等方式传播,病毒主要目的是感染局域网制造网络瘫痪。
  用户中毒后,会出现安全软件杀软无故退出,有关杀毒的窗口无法打开,系统运行缓慢,无法进入安全模式、无法进行系统还原等现象。

感染对象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

传播途径

文件捆绑、网页挂马、下载器下载、可移动存储器感染、局域网感染

防范措施

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1)



图1 微点主动防御软件自动捕获未知病毒(未升级)




如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现木马"Net-Worm.Win32.AutoRun.b”,请直接选择删除(如图2)。



图2   微点主动防御软件升级后截获已知病毒



未安装微点主动防御软件的手动解决办法:

1、手动结束ini.exe进程
2、手动删除以下文件:
%SystemRoot%\programs\fuckme.vbs
%SystemRoot%\programs\wsock32.dll
%SystemRoot%\Tasks\安装.bat
%Temp%\configmon.dat
%SystemDriver%\__default.pif
%SystemRoot%\programs\ini.exe
%SystemRoot%\programs\desktop.ini
3、清除所有文件夹下的wsock32.dll,并将正常的wsock32.dll复制到该路径:%SystemRoot%\system32\wsock32.dll
4、用正常hosts文件替换当前hosts文件,位置为%SystemRoot%\system32\drivers\etc\hosts
5、编辑所有网页文件,找到其中如下字串并删除:
<iframe src=http://www.xx.cn/1.htm width=0 height=0></iframe>
6、删除所有压缩文件中的“安装.bat”
7、若已经感染U盘,则关闭系统自动播放,打开U盘,删除以下文件:
X:\AUTORUN.INF(X为可移动存储器的盘符)
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\ini.exe(X为可移动存储器的盘符)
8、删除以下注册表项:
SOFTWARE\Microsoft\Active Setup\Installed Components\{H8I22RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
9、将正常注册表值导入以下注册表项中:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AFD
KHEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
10、根据需要回复开机启动项,对应注册表项为:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

变量声明:

%SystemDriver%       系统所在分区,通常为“C:\”
%SystemRoot%        WINDODWS所在目录,通常为“C:\Windows”
%Documents and Settings%  用户文档目录,通常为“C:\Documents and Settings”
%Temp%           临时文件夹,通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
%ProgramFiles%       系统程序默认安装目录,通常为:“C:\ProgramFiles”
作者: pioneer     时间: 2010-8-12 16:58
病毒分析

(1) 病毒程序带有伪造的卡巴斯基数字签名(数字签名无效),企图迷惑用户。
(2) 病毒创建目录%SystemRoot%\programs\,并在目录下新建程序ini.exe,完成后运行该程序。
(3) 在%SystemRoot%\programs\目录下创建文档desktop.ini作为感染标记。完成后调用命令行删除自身。
(4) %SystemRoot%\programs\ini.exe创建名为“shors1.3”的互斥量,以免重复运行。
(5) 创建线程,建立消息循环反复遍历进程列表。一旦在进程列表中发现以下进程名称则向其发送关闭命令:“safeboxTray.exe”“360Safe.exe”“360safebox.exe”“360tray.exe”“Iparmor.exe”“WEBSCANX.EXE”“TBSCAN.EXE”“TrojanHunter.exe”“THGUARD.EXE”“FWMon.exe”“mmsk.exe”“vptray.exe”“kav32.exe”“kwatch.exe”“kavstart.exe”“kissvc.exe”“kasmain.exe”“RavLite.exe”“RavMon.exe”“CCenter.exe”“UlibCfg.exe”“RavMonD.exe”“RavTask.exe”“FileDsty.exe”“EGHOST.EXE”“Navapw32.exe”“rfwsrv.exe”“rfwmain.exe”“rfwproxy.exe”
(6) 创建线程,建立消息循环反复查看窗口标题。一旦在窗口标题中发现以下窗口标题名称则向其发送关闭命令:“杀毒”“worm”“卡巴斯基”“超级巡警”“江民”“离线升级包”“金山”“Anti”“anti”“Virus”“virus”“Firewall”“检测”“Mcafee”“病毒”“查杀”“狙剑”“防火墙”“主动防御”“微点”“防御”“系统保护”“绿鹰”“主动”“杀马”“木马”“感染”“清除器”“上报”“举 报”“举报”“瑞星”“进 程”“进程”“系统安全”“Process”“NOD32”“拦截”“后门”“监控”“安全卫士”“监视专杀”
(7) 创建线程,反复查找顶端窗口标题,一旦发现“IceSword”则向该窗口发送关闭消息。
(8) 创建线程,反复遍历盘符并获取对应驱动器的属性。一旦发现可移动存储器,便在其根目录下创建X:\AUTORUN.INF(X为可移动存储器的盘符)。同时创建文件夹X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\,并将该文件夹伪装为回收站。完成后, 设置两者的属性为只读系统隐藏。
(9) 病毒将本身复制为X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\ini.exe(X为可移动存储器的盘符)。AUTORUN.INF会在系统挂载该可移动存储器的时候自动运行recycle.{645FF040-5081-101B-9F08-00AA002F954E}中的ini.exe。
(10)创建线程,建立消息循环。删除脚本运行器设置项,对应注册表项为:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
反复删除、创建注册表项,将%SystemRoot%\programs\fuckme.vbs加载为开机启动。同时创建对应的VBS脚本:%SystemRoot%\programs\fuckme.vbs,该脚本会执行%SystemRoot%\programs\ini.exe,对应注册表值为:
SOFTWARE\Microsoft\Active Setup\Installed Components\{H8I22RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
名称:stubpath
数值:%windir%\programs\fuckme.vbs
(11)新建动态链接库文件%SystemRoot%\programs\wsock32.dll
(12)创建线程,遍历除A盘和C盘两盘符外所有盘符下的文件,查找扩展名为”html””htm””asp””aspx””php””jsp”的网页文件,一旦发现则在其中嵌入不可见的页面元素,指向挂马网址。同时查找扩展名为”gho””GHO””Gho”的Ghost恢复文件,一旦发现则立即删除,防止用户恢复系统。
(13)创建线程,建立消息循环,依次搜索局域网同一网段内的所有IP地址,尝试通过弱口令连接局域网内其他计算机,并试图将自身以kav32.exe为名称复制到目标计算机的共享文件夹以及C、D、E、F四个驱动器的根目录下。一旦成功,则以隐藏窗口远程运行该程序,感染局域网内其他机器。
(14)创建线程,获取系统路径。将自身复制到系统任务计划文件夹下并重命名:%SystemRoot%\Tasks\安装.bat。 遍历除A盘和C盘两盘符外所有盘符下的文件,查找扩展名为”rar””zip””tgz””cab””tar”的压缩包,一旦发现,则调用WinRAR命令行将%SystemRoot%\Tasks\安装.bat添加到压缩包中
(15)创建线程,从指定网址下载病毒到本地,并存储为%Temp%\configmon.dat。成功后运行该程序。
(16)创建线程,遍历C盘所有文件夹,并将%SystemRoot%\programs\wsock32.dll复制到每一个文件夹目录下,用以替换正常系统文件。
(17)创建线程,反复从指定网址下载病毒,并存储为%SystemDriver%\__default.pif。成功后运行该程序。
(18)创建线程,修改hosts文件,屏蔽以下安全软件或可能获得安全支持的网址:“360.qihoo.com”“qihoo.com””www.qihoo.com””www.qihoo.cn””124.40.51.17””58.17.236.92””www.kaspersky.com””60.210.176.251””www.cnnod32.cn””www.lanniao.org””www.nod32club.com””www.dswlab.com””bbs.sucop.com””www.virustotal.com””tool.ikaka.com””www.jiangmin.com””www.duba.net””www.eset.com.cn””www.nod32.com””shadu.duba.net””union.kingsoft.com””www.kaspersky.com.cn””kaspersky.com.cn””virustotal.com””www.360.cn””www.360safe.cn””www.360safe.com””www.chinakv.com””www.rising.com.cn””rising.com.cn””dl.jiangmin.com””jiangmin.com”
(19)创建线程,建立消息循环。清空系统临时文件夹%Temp%\和帮助文件加%SystemRoot%\help\。清空开机启动项,防止安全软件开机启动。对应注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
(20)建立死循环,反复清空安全启动注册表项,用以阻止用户进入安全模式,被清空的注册表项为:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\

病毒创建文件:

%SystemRoot%\programs\ini.exe
%SystemRoot%\programs\desktop.ini
X:\AUTORUN.INF(X为可移动存储器的盘符)
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\ini.exe(X为可移动存储器的盘符)
%SystemRoot%\programs\fuckme.vbs
%SystemRoot%\programs\wsock32.dll
%SystemRoot%\Tasks\安装.bat
%Temp%\configmon.dat
%SystemDriver%\__default.pif

病毒修改文件:

%SystemRoot%\system32\drivers\etc\hosts


病毒创建注册表:
  
SOFTWARE\Microsoft\Active Setup\Installed Components\{H8I22RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}

病毒删除注册表:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AFD
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\(被清空)
KHEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\(被清空)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\(被清空)

病毒访问网络:

http://www.***.cn/1.htm
http://180.***.222.137/1.exe
http://180.***.222.137/360safe.exe



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn