网络蠕虫
net-worm.win32.autorun.b
捕获时间
2009-9-24
危害等级
高
病毒症状
该样本是使用“vc”编写的蠕虫病毒,由微点主动防御软件自动捕获,采用“upx”加壳方式,企图躲避特征码扫描,加壳后长度为“24,064 字节 ”,图标为“
”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“移动存储介质”、“网页挂马”等方式传播,病毒主要目的为实现网络病毒传播。
用户中毒后,会出现杀毒软件无故退出、系统运行缓慢、网络速度降低、出现大量未知进程等现象。
感染对象
windows 2000/windows xp/windows 2003
传播途径
网页木马、文件捆绑、下载器下载
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知后门程序”,请直接选择删除处理(如图1);
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"net-worm.win32.autorun.b”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
未安装微点主动防御软件的手动解决办法:
1、手动恢复以下文件:
拷贝相同版本文件到: %systemroot%\system32\qmgr.dll
拷贝相同版本文件到: %systemroot%\system32\drivers\etc\hosts
手动或用工具清除所有压缩包中的病毒
手动或用工具恢复所有网页文件。
2、手动删除以下文件:
%temp%\syshost.exe
%temp%\templocal.txt
%systemroot%\system32\1l1.dll
%systemroot%\system32\qmgr.dll
%systemroot%\system32\dllcache\lsasvc.dll
x:\autorun.inf (x为所有盘符)
x:\recycle.{645ff040-5081-101b-9f08-00aa002f954e} (x为所有盘符)
x:\recycle.{645ff040-5081-101b-9f08-00aa002f954e}\ghost.exe (x为所有盘符)
3、手动删除以下注册表值:
键: hkey_local_machine\software\microsoft\windowsnt\currentversion\image file execution options\[所有劫持]
4、手动恢复以下注册表值:
键:hkey_local_machine\system\currentcontrolset\services\bits
值: start
数据: 0x00000003
修复安全模式:
键:hkey_local_machine\system\currentcontrolset\control\safeboot\minimal
键:hkey_local_machine\system\currentcontrolset\control\safeboot\network
变量声明:
%systemdriver% 系统所在分区,通常为“c:\”
%systemroot% windodws所在目录,通常为“c:\windows”
%documents and settings% 用户文档目录,通常为“c:\documents and settings”
%temp% 临时文件夹,通常为“c:\documents and settings\当前用户名称\local settings\temp”
%programfiles% 系统程序默认安装目录,通常为:“c:\programfiles”
病毒分析
(1)停止名为"bits"的服务,去掉%systemroot%\system32\qmgr.dll文件保护属性,并释放动态链接
库%systemroot%\system32\qmgr.dll,替换掉正常的qmgr.dll,启动"bits"服务,通过该服务加载病毒程序。
(2)检查%systemroot%\system32\qmgr.dll是否被360tray.exe检测,如果是,则创建一个名为"360spshadow0"的设备,通过发送io控
制码的方式控制该设备从而绕过360tray.exe的检测。
(3) 创建线程,获取当前进程快照,查找进程"avp.exe"、"bdagent.exe"、"360tray.exe"是否存在,如果找到,则
将%systemroot%\system32\qmgr.dll复制为%systemroot%\system32\1l1.dll,将%systemroot%\system32\1l1.dll注入到目标进
程空间,并将杀软进程主线程终止,使其进程退出,完成之后,删除%systemroot%\system32\1l1.dll。
(4)创建线程,删除注册表相关键值,使用户无法进入安全模式,创建名为"svcmain"的服务,释放驱动%temp%\svcmain.sys并加载,
通过该驱动程序恢复ssdt,完成之后,删除%temp%\svcmain.sys,并删除服务对应的注册表键值。之后,删除大部分杀软的服务,
并作镜像劫持。
(5)创建线程,查找所有文件后缀名为htm、html、asp、aspx的网页文件,如果找到,往目标文件中插入代码,并开启一个新进程执行%programfiles%\internet
explorer\iexplore.exe,通过iexplore.exe访问嵌入的恶意网址。
(6)创建线程,新建文件%temp%\templocal.txt,访问目标网址读取内容,将读取的内容写入templocal.txt,并访问templocal.txt文
件中保存的网址,下载新病毒到本地运行。
(7)查找并修改文件%systemroot%\system32\drivers\etc\hosts。
(8)释放文件%systemroot%\system32\dllcache\lsasvc.dll,并运行。
(9)创建线程,遍历所有盘符,查找所有rar压缩包文件,如果找到,通过调用%programfiles%\winrar\rar.exe程序将其解压,将 病毒程序复制到解压出的文件夹中,然后再压缩回去,完成将病毒添加到压缩包中的功能。
(10)创建线程,扫描局域网其它主机,并通过自带的弱口令列表尝试枚举其它主机的管理密码,如果枚举成功,从指定网址下载病毒程
序到本地执行,并复制到其它主机的所有共享文件夹中运行。
(11)创建线程,遍历当前所有盘符,在每个盘符下创建文件autorun.inf,并在每个盘符下创建文件夹recycle.{645ff040-5081-101b- 9f08-00aa002f954e},并将%systemroot%\system32\dllcache\lsasvc.dll重命名为ghost.exe复制到
recycle.{645ff040-5081-101b-9f08-00aa002f954e}\ghost.exe,使用户一但双击磁盘或打开资源管理器自动运行病毒ghost.exe
(12)创建线程,不断读取%temp%\templocal.txt文件中的网址,下载新病毒。
(13)创建线程,释放病毒程序%temp%\syshost.exe,并开启新进程执行该程序。
(14) 释放批处理文件%temp%\tempdel.bat,并运行,将病毒自身重命名复制到%systemroot%\system32\dllcache\lsasvc.dll,之后删除自身和tempdel.bat。
病毒创建文件:
%temp%\svcmain.sys
%temp%\syshost.exe
%temp%\templocal.txt
%temp%\tempdel.bat
%systemroot%\system32\1l1.dll
%systemroot%\system32\qmgr.dll
%systemroot%\system32\dllcache\lsasvc.dll
x:\autorun.inf (x为各个盘符)
x:\recycle.{645ff040-5081-101b-9f08-00aa002f954e} (x为各个盘符)
x:\recycle.{645ff040-5081-101b-9f08-00aa002f954e}\ghost.exe (x为各个盘符)
病毒修改文件:
%systemroot%\system32\qmgr.dll
%systemroot%\system32\drivers\etc\hosts
病毒删除文件:
%temp%\svcmain.sys
%temp%\tempdel.bat
病毒创建进程:
iexplore.exe
病毒创建注册表:
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\[映像劫持]
hkey_local_machine\system\currentcontrolset\services\svcmain
病毒修改注册表:
hkey_local_machine\system\currentcontrolset\services\ bits\start
病毒删除注册表:
hkey_local_machine\system\currentcontrolset\services\svcmain
hkey_local_machine\system\currentcontrolset\control\safeboot\minimal
hkey_local_machine\system\currentcontrolset\control\safeboot\network
病毒访问网络:
http://mm.uu***67.cn/index/mm.htm
http://www.d***04.com/msn/mm.txt
http://www.d***567.cn/down/qqmm.exe
http://www.d***567.cn/down/qqma.exe
