» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 病毒快报 » U盘蠕虫Worm.Win32.Autorun.eyo   作者: 标题: U盘蠕虫Worm.Win32.Autorun.eyo pioneer 超级版主 积分 4563 发帖 4545 注册 2007-7-16 来自 BJ #1  U盘蠕虫Worm.Win32.Autorun.eyo Worm.Win32.Autorun.eyo 捕获时间 2008-08-02 病毒摘要 该样本是使用“Delphi”编写的“蠕虫程序”，由微点主动防御软件自动捕获，采用“FSG”加壳方式试图躲避特征码扫描,加壳后长度为“40,018 字节”，图标为，使用“exe”的扩展名，通过“网页木马”、“文件感染”、“移动存储介质”等方式进行传播，植入目标计算机后下载其他木马程序到本地执行。 感染对象 Windows 2000/Windows XP/Windows 2003 传播途径 网页木马、文件感染、移动存储介质 安全提示 　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”，请直接选择删除处理（如图1）； 　 如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现"Worm.Win32.Autorun.eyo”，请直接选择删除（如图2）。     对于未使用微点主动防御软件的用户，微点反病毒专家建议： 1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。 2、建议关闭U盘自动播放，具体操作步骤：开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。 3、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。 4、开启windows自动更新，及时打好漏洞补丁。 [ Last edited by pioneer on 2008-8-2 at 22:07 ] ※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※ 2008-8-2 16:34 pioneer 超级版主 积分 4563 发帖 4545 注册 2007-7-16 来自 BJ #2   病毒分析 该样本程序被执行后，在%SystemRoot%\system32\drivers\目录下释放驱动文件“beep.sys”，把%SystemRoot%\system32\目录设置为系统隐藏；将驱动文件“beep.sys”注册成名为“RESSDT”的服务并启动，恢复SSDT使部分安全软件监控失效。   Quote: 项：HKLM\SYSTEM\CurrentControlSet\Services\RESSDT\ 键值：DisplayName 指向数据：RESSDT 项：HKLM\SYSTEM\CurrentControlSet\Services\RESSDT\ 键值：ImagePath 指向文件：\??\C:\WINDOWS\system32\drivers\beep.sys 项：HKLM\SYSTEM\ControlSet001\Services\RESSDT\ 键值：Start 指向数据：03 拷贝自身到%SystemRoot%\system32目录下重新命名为“uqxlnros.exe”和 “bxymovdi.exe”，并为其设置“系统”和“隐藏”属性，使用函数“ WinExec”执行上述文件，修改如下注册表健值实现开机自启动，调用命令行执行自删除。   Quote: 项： HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\ 键值：uqxlnros.exe 指向数据：C:\WINDOWS\system32\uqxlnros.exe 项： HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\ 键值：bxymovdi.exe 指向数据：C:\WINDOWS\system32\ bxymovdi.exe 病毒程序uqxlnros.exe和bxymovdi.exe运行后，执行以下动作： 映像劫持大部分安全软件及其系统工具，使其不能够正常为用户计算机提供安全保障   Quote: 360rpt.exe   360Safe.exe 360tray.exe adam.exe AgentSvr.exe AntiU.exe AppSvc32.exe autorun.exe avconsol.exe avgrssvc.exe AvMonitor.exe avp.com avp.exe CCenter.exe ccSvcHst.exe Discovery.exe EGHOST.EXE IceSword.exe HijackThis.exe QQKAV.EXE Regedit.exe 查找如下“窗口名”或“类名”的窗口并将其关闭：   Quote: 瑞星 网镖 木马 木馬 Ghost IDA Sniffer DeBug NOD32 FireWall Virus IceSword 删除修改注册表相关项破坏安全模式，遍历磁盘删除扩展名为“gho”的文件，使用户不能通过“ghost”恢复系统；通过查找%ProgramFiles%的环境变量获得“winrar”安装路径，遍历所有分区的“rar”、“zip”文件，找到后在后台调用“winrar.exe”，执行命令“\WinRAR.exe a -ep -u –inul”把病毒副本“歪歪的新家.exe” 压缩进压缩包，诱使用户点击，同时在用户解压加密的压缩包时使用函数“PostMessageA”发送“WM_CLOSE”消息使其退出；调用函数“DeleteFileA”将 %SystemRoot%\system32\drivers\etc目录下的“hosts”文件删除，达到突破常规网页免疫的目的，感染磁盘中文件扩展名为“htm”、“html”、“asp”、“aspx”、“php”、“jsp”、“exe”、“com”、“pif”、“scr”、“bat”等的文件，遍历磁盘寻找“QQDoctor”安装路径，找到后通过替换文件“TF000001.tsd”和“TM000001.TSD”禁用“QQ医生”。 修改如下注册表键值使被隐藏病毒文件使其不能被显示出来：   Quote: 项：HKCU\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Explorer\Advanced\ 键值：ShowSuperHidden 指向数据：00 项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ 键值：CheckedValue: 0x00000001（被删除） 创建如下注册表键值开启Windows自动播放功能   Quote: 项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\ 键值：NoDriveTypeAutoRun 指向数据：91 枚举盘符在各分区和移动存储介质中释放隐藏病毒文件bxymovdi.exe和autorun.inf，其中autorun.inf文件内容如下：   Quote: [AutoRun] shell\open=打开(&O) shell\open\Command=bxymovdi.exe shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\Command=bxymovdi.exe 使用Windows自动播放功能来传播病毒，判断移动存储介质在其中释放3个病毒副本“宝贝老婆的51秀”，“亲亲晓儿的51照片”，“瑞星2008截图”诱使用户点击中毒。 病毒同时在后台启动“IEXPLORE.EXE”进程，访问恶意网站“http://clubs.h***66.oaooao.com/ps.txt”下载病毒程序并运行。 ※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※ 2008-8-2 16:36 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号