微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 病毒快报 » 蠕虫程序Worm.Win32.AutoRun.uec  

作者:
标题: 蠕虫程序Worm.Win32.AutoRun.uec
pioneer
超级版主




积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
#1  蠕虫程序Worm.Win32.AutoRun.uec

蠕虫程序

Worm.Win32.AutoRun.uec

捕获时间

2011-02-02

危害等级



病毒症状

  该样本是使用“C/C++”编写的蠕虫,由微点主动防御软件自动捕获,采用“ASPack”加壳方式试图躲避特征码扫描,加壳后长度为“83,968”字节,图标为“”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“网页挂马”、“可移动存储器感染”等方式传播,病毒主要目的是盗取用户信息。
  用户中毒后,会出现系统运行缓慢,网络拥堵,重要资料丢失等现象。

感染对象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

传播途径

文件捆绑、网页挂马、下载器下载

防范措施

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“后门程序”,请直接选择删除处理(如图1)


图1 微点主动防御软件自动捕获未知病毒(未升级)



如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现木马"Worm.Win32.AutoRun.uec”,请直接选择删除(如图2)。


图2   微点主动防御软件升级后截获已知病毒




未安装微点主动防御软件的手动解决办法:

1.停止名为“6to4”的服务项

2.删除一下注册表项:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\6to4\

3.清空以下注册表项下的内容:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\

4.用正常文件替换以下文件:

%SystemRoot%\system32\appmgmts.dll
%SystemRoot%\system32\qmgr.dll
%SystemRoot%\system32\shsvcs.dll
%SystemRoot%\system32\mspmsnsv.dll
%SystemRoot%\system32\xmlprov.dll
%SystemRoot%\system32\ntmssvc.dll
%SystemRoot%\system32\upnphost.dll
%SystemRoot%\system32\mswsock.dll
%SystemRoot%\system32\ssdpsrv.dll
%SystemRoot%\system32\tapisrv.dll
%SystemRoot%\system32\browser.dll
%SystemRoot%\system32\cryptsvc.dll
%SystemRoot%\system32\pchsvc.dll
%SystemRoot%\system32\regsvc.dll
%SystemRoot%\system32\ schedsvc.dll

5.删除以下文件:

%SystemRoot%\system32\538535A0.sys(随机命名)
%SystemRoot%\System32\6to4.dll
X\autorun.inf(X为可移动存储器盘符)
X\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\uninstall.exe(X为可移动存储器盘符)

变量声明:

  %SystemDriver%       系统所在分区,通常为“C:\”
  %SystemRoot%        WINDODWS所在目录,通常为“C:\Windows”
  %Documents and Settings%  用户文档目录,通常为“C:\Documents and Settings”
  %Temp%           临时文件夹,通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
  %ProgramFiles%       系统程序默认安装目录,通常为:“C:\Program Files”

※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
2011-2-2 09:28
查看资料  发短消息   编辑帖子
pioneer
超级版主




积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
#2  

病毒分析

(1)病毒创建通道设备“\\.\pipe\{D952F2D0-0BCE-4b2b-8FFF-2317F120FCC3}”
(2)查找安全软件进程“RavMonD.exe”、“360tray.exe”、“MPSVC.exe”,若发现则尝试强制结束。
(3)病毒释放hosts文件,替换%SystemRoot%\system32\drivers\etc\hosts,防止网络被屏蔽。
(4)病毒创建信息记录文件%Documents and Settings%\Infotmp.txt,用以记录用户系统信息以及病毒释放文件路径。
(5)病毒获取临时路径,截取当前屏幕。并将截屏图像保存为%Temp%\51352130.log(随机命名)。
(6)完成后,病毒读取自身资源,生成%SystemRoot%\system32\01C606DB.tmp和%SystemRoot%\system32\538535A0.sys
(7)用01C606DB.tmp替换以下任意一服务文件用以开机启动,一旦替换成功则不再替换:
%SystemRoot%\system32\appmgmts.dll
%SystemRoot%\system32\qmgr.dll
%SystemRoot%\system32\shsvcs.dll
%SystemRoot%\system32\mspmsnsv.dll
%SystemRoot%\system32\xmlprov.dll
%SystemRoot%\system32\ntmssvc.dll
%SystemRoot%\system32\upnphost.dll
%SystemRoot%\system32\mswsock.dll
%SystemRoot%\system32\ssdpsrv.dll
%SystemRoot%\system32\tapisrv.dll
%SystemRoot%\system32\browser.dll
%SystemRoot%\system32\cryptsvc.dll
%SystemRoot%\system32\pchsvc.dll
%SystemRoot%\system32\regsvc.dll
%SystemRoot%\system32\ schedsvc.dll
(8)若不成功则将01C606DB.tmp改名为6to4.dll,并为其创建服务项,对应注册表值为:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\
名称:ImagePath
数值:%SystemRoot%\System32\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\Parameters\
名称:ServiceDll
数值:%SystemRoot%\System32\6to4.dll

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\6to4\
名称:ImagePath
数值:%SystemRoot%\System32\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\6to4\Parameters\
名称:ServiceDll
数值:%SystemRoot%\System32\6to4.dll
(9)对以下程序创建映像劫持:360hotfix.exe、360rp.exe、360rpt.exe、360safe.exe、360safebox.exe、360sd.exe、 360se.exe、360SoftMgrSvc.exe、360speedld.exe、360tray.exe、afwServ.exe、 ast.exe、AvastUI.exe、avcenter.exe、avfwsvc.exe、avgnt.exe、avguard.exe、 avmaiavmailc.exe、avp.exe、avshadow.exe、avwebgavwebgrd.exe、bdagent.exe、 CCenter.exe、ccSvcHst.exe、dwengine.exe、egui.exe、ekrn.exe、FilMsg.exe、 kavstart.exe、kissvc.exe、kmailmon.exe、kpfw32.exe、kpfwsvc.exe、 krnl360svc.exe、ksmgui.exe、ksmsvc.exe、kswebshield.exe、KVMonXP.kxp、 KVSrvXP.exe、kwatch.exe、livesrv.exe、Mcagent.exe、mcmscsvc.exe、McNASvc.exe、 Mcods.exe、McProxy.exe、Mcshield.exe、mcsysmon.exe、mcvsshld.exe、MpfSrv.exe、 MPMon.exe、MPSVC.exe、MPSVC1.exe、MPSVC2.exe、msksrver.exe、qutmserv.exe、 RavMonD.exe、RavTask.exe、RsAgent.exe、rsnetsvr.exe、RsTray.exe、 safeboxTray.exe、ScanFrm.exe、sched.exe、seccenter.exe、SfCtlCom.exe、 Debugger、spideragent.exe、SpIDerMl.exe、spidernt.exe、spiderui.exe、 TMBMSRV.exe、TmProxy.exe、Twister.exe、UfSeAgnt.exe、vsserv.exe、 zhudongfangyu.exe、修复工具.exe
(10)加载%SystemRoot%\system32\538535A0.sys,恢复SSDT使部分安全软件失效。并且挂FSD钩子及TCP/IP钩子用以监控用户行为
(11)遍历本地盘符,并获取每个盘符对应的磁盘类型,发现可移动存储器则写入在根目录下创建文件夹recycle.{645FF040-5081-101B-9F08-00AA002F954E},并将病毒自身复制到该文件夹下并命名为uninstall.exe。完成后在磁盘根目录下创建autorun.inf文件,指向病毒。
(12)向指定地址上传%Documents and Settings%\Infotmp.txt和%Temp%\51352130.log,成功后删除这两个文件和病毒自身。
(13)病毒替换的动态库文件连接指定网址,等待黑客进一步指令。


病毒创建文件:

%Documents and Settings%\Infotmp.txt
%Temp%\51352130.log(随机命名)
%SystemRoot%\system32\01C606DB.tmp(随机命名)
%SystemRoot%\system32\538535A0.sys(随机命名)
%SystemRoot%\System32\6to4.dll
X\autorun.inf(X为可移动存储器盘符)
X\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\uninstall.exe(X为可移动存储器盘符)

病毒替换文件:

%SystemRoot%\system32\appmgmts.dll
%SystemRoot%\system32\qmgr.dll
%SystemRoot%\system32\shsvcs.dll
%SystemRoot%\system32\mspmsnsv.dll
%SystemRoot%\system32\xmlprov.dll
%SystemRoot%\system32\ntmssvc.dll
%SystemRoot%\system32\upnphost.dll
%SystemRoot%\system32\mswsock.dll
%SystemRoot%\system32\ssdpsrv.dll
%SystemRoot%\system32\tapisrv.dll
%SystemRoot%\system32\browser.dll
%SystemRoot%\system32\cryptsvc.dll
%SystemRoot%\system32\pchsvc.dll
%SystemRoot%\system32\regsvc.dll
%SystemRoot%\system32\ schedsvc.dll

病毒删除文件:

%Documents and Settings%\Infotmp.txt
%Temp%\51352130.log(随机命名)
%SystemRoot%\system32\01C606DB.tmp(随机命名)

病毒创建注册表:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\
名称:ImagePath
数值:%SystemRoot%\System32\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\Parameters\
名称:ServiceDll
数值:%SystemRoot%\System32\6to4.dll

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\6to4\
名称:ImagePath
数值:%SystemRoot%\System32\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\6to4\Parameters\
名称:ServiceDll
数值:%SystemRoot%\System32\6to4.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[映像劫持文件名]

病毒连接网络:

174.139.***.105:1246

※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
2011-2-2 09:32
查看资料  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号