东方微点-ag旗舰厅首页

  ag旗舰厅首页  
ag旗舰厅首页-ag亚洲国际厅  |  微点新闻  |  业界动态  |  安全资讯  |   |   |  网络版ag旗舰厅首页
 |   |   |   |   |   |  各地代理商
 

网络蠕虫worm.win32.autorun.lqx
来源:  2009-04-15 17:20:22

捕获时间

2009-4-15

病毒症状

  该样本是使用“delphi编写的网络蠕虫,由微点主动防御软件自动捕获,采用“upack”加壳方式,企图躲避特征码扫描,加壳后长度为“51,688 字节”,图标为“
”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“移动存储介质”等方式传播,病毒主要目的为下载大量木马并运行。  

  用户中毒后,会出现安全软件无故关闭,网络运行缓慢,安全模式无法进入,windows系统无故报错等现象。

感染对象

windows 2000/windows xp/windows 2003

传播途径

网页木马、文件捆绑、下载器下载

防范措施


已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知间谍软件”,请直接选择删除处理(如图1);




          图1 微点主动防御软件自动捕获未知病毒(未升级)

如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"worm.win32.autorun.lqx”,请直接选择删除(如图2)。




          图2   微点主动防御软件升级后截获已知病毒

对于未使用微点主动防御软件的用户,微点反病毒专家建议

1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取ag旗舰厅首页的技术支持。
3、开启windows自动更新,及时打好漏洞补丁。

未安装微点主动防御软件的手动解决办法:

1、手动删除以下文件:
    
%programfiles%\common files\safesys.exe  
%temp%\safesys(1).exe
%temp%\safesys.txt
%programfiles%\jnbim.bak
x:\safesys.exe
x:\autorun.inf   (x:为任意盘符)

2、手动删除以下注册表值:  
键:hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\
键:hkey_local_machine\ software\microsoft\windows\currentversion\run\safesys
键:hkey_local_machine\system\currentcontrolset\services\safesysdrv
键:hkey_current_user\software\microsoft\windows\currentversion\policies\system\disabletaskmgr
键:hkey_current_user\software\microsoft\windows\currentversion\policies\system\disablewindowsupdateaccess 3、手动修改以下注册表:
键:hkey_local_machine\software\360safe\safemon
值:monaccess   
数据:1
键:hkey_local_machine\software\360safe\safemon
值:siteaccess  
数据:1
键:hkey_local_machine\software\360safe\safemon
值:execaccess  
数据:1
键:hkey_local_machine\software\360safe\safemon
值:arpaccess   
数据:1
键:hkey_local_machine\software\360safe\safemon
值:weeken  
数据:1
键:hkey_local_machine\software\360safe\safemon
值:ieprotaccess
数据:1
键:hkey_local_machine\software\360safe\safemon
值:leakshowed  
数据:1
键:hkey_local_machine\software\360safe\safemon
值:udiskaccess
数据:1 
键:hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall 
值:showall  
数据:1

4.用相同版本替换%systemroot%\system32\spoolsv.exe和%systemroot%\system32\dllcache\spoolsv.exe  
     变量声明:  
     %systemdriver%    系统所在分区,通常为“c:\”  
     %systemroot%     windodws所在目录,通常为“c:\windows”    
     %documents and settings% 用户文档目录,通常为“c:\documents and settings”  
     %temp%  临时文件夹,通常为“c:\documents and settings\当前用户名称\local settings\temp”  
     %programfiles%   系统程序默认安装目录,通常为:“c:\programfiles”


病毒分析

(1)判断参数是不是-clear ,判断当前路径是不是%programfiles%\common files\safesys.exe,如果不是,执行%programfiles%\common files\safesys.exe –clear,然后创建互斥"vip1.0,kuaigeiwoxiaoshi!"结束进程

(2)检测自身路径是不是在根目录,然后创建%systemdriver%\autorun.inf,如果创建成功,打开c盘,发送消息,关闭窗口,如果窗口关闭失败,查找杀毒软件等弹出窗口,并关闭

(3)检查自身是不是%programfiles%\internet explorer\iexplore.exe,如果是,打开指定网址,然后判断该网址对应文件,是否是pe文件,如果是pe文件,保存为%temp%\safesys(1).exe,然后运行文件,不是pe文件,保存为%temp%\safesys.txt,读取下载列表进行下载

(4)判断自身是不是%systemroot%\system32\svchost.exe,删除安全模式,结束杀软进程,设置360相关注册表,修改启动项目,删除修改注册表时,用到的文件,打开 "vip1.0,kuaigeiwoxiaoshi!"如果打开成功,创建%temp%\~hkfbl.bat删除%programfiles%\common files\safesys.exe等一系列卸载操作

(5)判断自身路径是不是 %programfiles%\common files\safesys.exe,结束进程,创建映像劫持,遍历盘符写autorun.inf

(6)判断自身是不是%systemroot%\system32\spoolsv.exe,启动保护服务

(7)判断参数是不是“-safesys”,不是创建“sample.exe –safesys”进程,并创建互斥"-safesys"

(8)创建%programfiles%\jnbim.bak,然后加载,释放驱动文件%systemroot%\fonts\aruql.fon,创建服务aruql,启动驱动,然后删除,驱动主要功能是起保护病毒文件功能。

(9)查找窗口,关闭常见安全软件,调试工具等,修改注册表,关闭进程,遍历磁盘写autorun.inf

(10)停止spooler服务,去掉%systemroot%\system32\spoolsv.exe的文件保护,释放驱动temp\~cifsw.tmp,创建"safesysdrv"服务启动temp\~cifsw.tmp",修改%systemroot%\system32\spoolsv.exe

(11)查找内网共享等,进行内网传播,发送统计信息到指定网站

(12)复制自身到%programfiles%\common files\safesys.exe,并以safesys参数运行,病毒检查是否以"-service"参数运行,然后以"-service"参数运行,

(13)复制%systemroot%\system32\spoolsv.exe到%systemroot%\system32\dllcache\spoolsv.exe,检查spooler服务关联文件,启动spooler服务,启动两个svchost进程,并把病毒代码写入,检查注册表启动项目和病毒是否存在,然后退出

(14)生成删除自身%temp%\~brlhb.bat删除自身, 
         
病毒创建文件: 
   
%programfiles%\common files\safesys.exe 
%temp%\safesys(1).exe
%temp%\safesys.txt
%programfiles%\jnbim.bak
%systemroot%\fonts\aruql.fon
%temp%\~hkfbl.bat
%temp%\~brlhb.bat
x:\safesys.exe
x:\autorun.inf   (x:为任意盘符)

病毒修改文件:   
              
%systemroot%\system32\spoolsv.exe
%systemroot%\system32\dllcache\spoolsv.exe    

病毒删除文件:    

%temp%\~hkfbl.bat
%temp%\~brlhb.bat
%systemroot%\fonts\aruql.fon 
x:\safesys.exe
x:\autorun.inf   (x:为任意盘符)

病毒创建注册表:  

hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\
hkey_local_machine\ software\microsoft\windows\currentversion\run\safesys
hkey_local_machine\system\currentcontrolset\services\safesysdrv
hkey_local_machine\system\currentcontrolset\services\aruql
hkey_current_user\software\alppvw
hkey_current_user\software\microsoft\windows\currentversion\policies\system\disabletaskmgr
hkey_current_user\software\microsoft\windows\currentversion\policies\system\disablewindowsupdateaccess    

病毒修改注册表:
                  

hkey_local_machine\software\360safe\safemon\monaccess
hkey_local_machine\software\360safe\safemon\siteaccess
hkey_local_machine\software\360safe\safemon\execaccess
hkey_local_machine\software\360safe\safemon\arpaccess
hkey_local_machine\software\360safe\safemon\weeken
hkey_local_machine\software\360safe\safemon\ieprotaccess
hkey_local_machine\software\360safe\safemon\leakshowed hkey_local_machine\software\360safe\safemon\udiskaccesshkey_local_machine\system\currentcontrolset\services\spooler\imagepath   hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall  

病毒删除注册表:    

hkey_local_machine\system\controlset001\control\safeboot\minimal\{4d36e967-e325-11ce-bfc1-08002be10318}  hkey_local_machine\system\controlset001\control\safeboot\network\{4d36e967-e325-11ce-bfc1-08002be10318}
hkey_current_user\software\alppvw
hkey_local_machine\system\currentcontrolset\services\aruql
          
病毒创建进程:    

svchost.exe(两个)   

病毒访问网络:   

http://count.key5188.com/count/get.asp
http://c.8yeye.com/count.txt

免费体验
下  载

网站地图