» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 病毒快报 » “回收站”（Worm.Win32.AutoRun.nn）   作者: 标题: “回收站”（Worm.Win32.AutoRun.nn） pioneer 超级版主 积分 4563 发帖 4545 注册 2007-7-16 来自 BJ #1  “回收站”（Worm.Win32.AutoRun.nn） 病毒名称 Worm.Win32.AutoRun.nn 捕获时间 2007-12-16 病毒症状         该样本程序是一个使用VC++编写的病毒程序，程序采用UPX加壳企图躲过特征码扫描,长度为74,240字节，图标为windows回收站图标，病毒扩展名为exe，传播途径主要局域网，移动存储。 病毒分析 该样本程序被激活后释放uninstx.exe，confi.exe和Recycler.exe到%systemroot%\system32目录下，通过调用相关API函数提自身权限，uninstx.exe释放一个随机名字的.dll文件，通过修改相关注册表键值将被感染的电脑设置为代理服务器，获取局域网主机信息，发送数据包，通过修改注册Hidden项下的SHOWALL的值，使的用户无法查看到隐藏文件；强行结束部分软件的进程，遍历系统盘符，获取驱动器类型，在本地磁盘和可移动设备的中生成autorun.inf和Recycler.exe文件，使得病毒能在用户打开盘符时运行，达到更大的传播范围。 感染对象 Windows 2000/Windows XP/Windows 2003 传播途径 局域网，移动存储 安全提示 已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知间谍软件”，请直接选择删除处理（如图1）； 如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现“Worm.Win32.AutoRun.nn”，请直接选择删除（如图2）。 对于未使用微点主动防御软件的用户，微点反病毒专家建议： 1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统； 2、建议关闭U盘自动播放，具体操作步骤：开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。 3、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。 4、开启windows自动更新，及时打好漏洞补丁。 ※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※ 2007-12-16 16:20 pioneer 超级版主 积分 4563 发帖 4545 注册 2007-7-16 来自 BJ #2   技术细节 病毒添加的注册表项： 项：HKLM\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall 键值：CheckedValue 数值数据：0 项：HKLM\software\microsoft\windows\currentversion\run 键值：Windows Recycled        指向文件：%systemroot%\system32\Recycler.exe [AutoRun] open= Recycler.exe shellexecute= Recycler.exe shell\Auto\command= Recycler.exe 随机显示.dll文件名称列表 ： routersh.dll missnetp.dll gatwaysh.dll vpntunnel.dll lancheck.dll hostip2.dll udpsh.dll tcpproto.dll getspi.dll netunnel.dll mpeg2fun.dll mcfetch.dll devvect.dll funcdev.dll getkbsyn.dll mcdirect8.dll mousegrl.dll msrctr.dll kbpool.dll kbtype.dll keyvect.dll keylsv.dll 被强行结束的程序列表： winroute.exe winaw32.exe mpeng.exe lpfw.exe firesvc.exe zlclient.exe persfw.exe amon.exe smc.exe swagent.exe sspfwtry2.exe rfwsrv.exe pf4.exe pccguide.exe outpost.exe npfsvice.exe fsaw.exe tmpfw.exe pnmsrv.exe ofcpfwsvc.exe bullguard.exe blackd.exe blackice.exe armor2net.exe guard.exe capfaem.exe mcagent.exe avgfwsrv.exe avp.exe kavpfw.exe kavpf.exe ccapp.exe [ Last edited by pioneer on 2007-12-17 at 10:20 ] ※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※ 2007-12-16 16:21 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号