» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 病毒快报 » 蠕虫程序Worm.Win32.AutoRun.kkr   作者: 标题: 蠕虫程序Worm.Win32.AutoRun.kkr pioneer 超级版主 积分 4563 发帖 4545 注册 2007-7-16 来自 BJ #1  蠕虫程序Worm.Win32.AutoRun.kkr Worm.Win32.AutoRun.kkr 捕获时间 2009-1-25 病毒摘要 该样本是使用“易语言”编写的蠕虫程序，由微点主动防御软件自动捕获，长度为“1,414,753 字节”，图标为“”，对于设置了不显示隐藏文件且隐藏已知扩展名的用户，有极大的欺骗性，病毒扩展名为“exe”，主要通过“文件捆绑”、“欺骗用户点击”、“下载器下载”、“可移动存储介质”等方式传播，病毒主要目的为不断感染其他电脑及可移动介质刷取访问流量。 感染对象 Windows 2000/Windows XP/Windows 2003 传播途径 文件捆绑、欺骗用户点击、下载器下载、可移动存储介质 防范措施 已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”，请直接选择删除处理（如图1）；        图1 微点主动防御软件自动捕获未知病毒（未升级） 如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现"Worm.Win32.AutoRun.kkr”，请直接选择删除（如图2）。        图2 微点主动防御软件升级后截获已知病毒 对于未使用微点主动防御软件的用户，微点反病毒专家建议： 1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。 2、建议关闭U盘自动播放，具体操作步骤：开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。 3、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。 4、开启windows自动更新，及时打好漏洞补丁。 [ Last edited by pioneer on 2009-2-3 at 14:59 ] ※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※ 2009-1-26 18:55 pioneer 超级版主 积分 4563 发帖 4545 注册 2007-7-16 来自 BJ #2   病毒分析 　　该样本程序被执行后，弹出对话框提示用户该样本为“无效目录”，企图迷惑用户： 　　在系统文件夹“%SystemRoot%\system32”内建立以下文件夹：   Quote: 　　372109 　　499E86 　　2B4FA4 　　A9C3FF 　　372109 　　复制自身至“%SystemRoot%\system32\372109”，重命名为“C00285.EXE”，释放易语言动态库文件：   Quote: 　　cnvpe.fne 　　dp1.fne 　　eAPI.fne 　　HtmlView.fne 　　internet.fne 　　krnln.fnr 　　shell.fne 　　spec.fne 　　RegEx.fnr 　　在用户“开始”菜单，“所有程序”中的“启动”文件夹内建立快捷方式，指向：“%SystemRoot%\system32\372109\C00285.EXE”，实现开机启动。 　　“C00285.EXE”将尝试访问“www.baidu.com”测试联网状态，联网成功后尝试访问网络地址：   Quote: 　　http://x**.cn/u5.htm 　　http:// n-**.cn/c.htm 　　http:// w-**.cn/o.htm 　　http:// w-**.cn/o5.htm 　　“C00285.EXE”将不断遍历用户磁盘类型，当用户主机连接到新的“可移动存储介质”时，将复制自身至可移动存储介质根目录，并重命名为“Recycle.exe”，建立“autorun.inf”，“autorun.inf”内容如下：   Quote: [AutoRun] open=Recycle.exe shell\1=打开(&O) shell\1\Command=Recycle.exe shell\2\=浏览(&B) shell\2\Command=Recycle.exe shellexecute=Recycle.exe 　　遍历目录内文件夹，将全部文件夹设置为系统、隐藏、只读，并复制自身为文件夹总个数，名称与各文件夹同名。企图欺骗用户点击，通过可移动介质感染其他主机，达到传播目的。 ※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※ 2009-1-26 19:00 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号