蠕虫程序
net-worm.win32.autorun.b
捕获时间
2010-8-12
危害等级
中
病毒症状
该样本是使用“c/c ”编写的蠕虫程序,由微点主动防御软件自动捕获,长度为“56,072”字节,图标为“”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“可移动存储器感染”、“局域网感染”等方式传播,病毒主要目的是感染局域网制造网络瘫痪。
用户中毒后,会出现安全软件杀软无故退出,有关杀毒的窗口无法打开,系统运行缓慢,无法进入安全模式、无法进行系统还原等现象。
感染对象
windows 2000/windows xp/windows 2003/windows vista/ windows 7
传播途径
文件捆绑、网页挂马、下载器下载、可移动存储器感染、局域网感染
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1)
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现木马"net-worm.win32.autorun.b”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
未安装微点主动防御软件的手动解决办法:
1、手动结束ini.exe进程
2、手动删除以下文件:
%systemroot%\programs\fuckme.vbs
%systemroot%\programs\wsock32.dll
%systemroot%\tasks\安装.bat
%temp%\configmon.dat
%systemdriver%\__default.pif
%systemroot%\programs\ini.exe
%systemroot%\programs\desktop.ini
3、清除所有文件夹下的wsock32.dll,并将正常的wsock32.dll复制到该路径:%systemroot%\system32\wsock32.dll
4、用正常hosts文件替换当前hosts文件,位置为%systemroot%\system32\drivers\etc\hosts
5、编辑所有网页文件,找到其中如下字串并删除:
6、删除所有压缩文件中的“安装.bat”
7、若已经感染u盘,则关闭系统自动播放,打开u盘,删除以下文件:
x:\autorun.inf(x为可移动存储器的盘符)
x:\recycle.{645ff040-5081-101b-9f08-00aa002f954e}\ini.exe(x为可移动存储器的盘符)
8、删除以下注册表项:
software\microsoft\active setup\installed components\{h8i22rb03-ab-b70-7-11d2-9cbd-0o00fs7ah6-9e2121bhjlk}
9、将正常注册表值导入以下注册表项中:
hkey_local_machine\software\microsoft\windows script host\settings
hkey_local_machine\system\currentcontrolset\control\safeboot\network\afd
khey_local_machine\system\currentcontrolset\control\safeboot\network\
hkey_local_machine\system\currentcontrolset\control\safeboot\minimal\
10、根据需要回复开机启动项,对应注册表项为:
hkey_local_machine\software\microsoft\windows\currentversion\run
变量声明:
%systemdriver% 系统所在分区,通常为“c:\”
%systemroot% windodws所在目录,通常为“c:\windows”
%documents and settings% 用户文档目录,通常为“c:\documents and settings”
%temp% 临时文件夹,通常为“c:\documents and settings\当前用户名称\local settings\temp”
%programfiles% 系统程序默认安装目录,通常为:“c:\programfiles”
病毒分析
(1) 病毒程序带有伪造的卡巴斯基数字签名(数字签名无效),企图迷惑用户。
(2) 病毒创建目录%systemroot%\programs\,并在目录下新建程序ini.exe,完成后运行该程序。
(3) 在%systemroot%\programs\目录下创建文档desktop.ini作为感染标记。完成后调用命令行删除自身。
(4) %systemroot%\programs\ini.exe创建名为“shors1.3”的互斥量,以免重复运行。
(5) 创建线程,建立消息循环反复遍历进程列表。一旦在进程列表中发现以下进程名称则向其发送关闭命令:“safeboxtray.exe”“360safe.exe”“360safebox.exe”“360tray.exe”“iparmor.exe”“webscanx.exe”“tbscan.exe”“trojanhunter.exe”“thguard.exe”“fwmon.exe”“mmsk.exe”“vptray.exe”“kav32.exe”“kwatch.exe”“kavstart.exe”“kissvc.exe”“kasmain.exe”“ravlite.exe”“ravmon.exe”“ccenter.exe”“ulibcfg.exe”“ravmond.exe”“ravtask.exe”“filedsty.exe”“eghost.exe”“navapw32.exe”“rfwsrv.exe”“rfwmain.exe”“rfwproxy.exe”
(6) 创建线程,建立消息循环反复查看窗口标题。一旦在窗口标题中发现以下窗口标题名称则向其发送关闭命令:“杀毒”“worm”“卡巴斯基”“超级巡警”“江民”“离线升级包”“金山”“anti”“anti”“virus”“virus”“firewall”“检测”“mcafee”“病毒”“查杀”“狙剑”“防火墙”“主动防御”“微点”“防御”“系统保护”“绿鹰”“主动”“杀马”“木马”“感染”“清除器”“上报”“举 报”“举报”“瑞星”“进 程”“进程”“系统安全”“process”“nod32”“拦截”“后门”“监控”“安全卫士”“监视专杀”
(7) 创建线程,反复查找顶端窗口标题,一旦发现“icesword”则向该窗口发送关闭消息。
(8) 创建线程,反复遍历盘符并获取对应驱动器的属性。一旦发现可移动存储器,便在其根目录下创建x:\autorun.inf(x为可移动存储器的盘符)。同时创建文件夹x:\recycle.{645ff040-5081-101b-9f08-00aa002f954e}\,并将该文件夹伪装为回收站。完成后, 设置两者的属性为只读系统隐藏。
(9) 病毒将本身复制为x:\recycle.{645ff040-5081-101b-9f08-00aa002f954e}\ini.exe(x为可移动存储器的盘符)。autorun.inf会在系统挂载该可移动存储器的时候自动运行recycle.{645ff040-5081-101b-9f08-00aa002f954e}中的ini.exe。
(10)创建线程,建立消息循环。删除脚本运行器设置项,对应注册表项为:
hkey_local_machine\software\microsoft\windows script host\settings
反复删除、创建注册表项,将%systemroot%\programs\fuckme.vbs加载为开机启动。同时创建对应的vbs脚本:%systemroot%\programs\fuckme.vbs,该脚本会执行%systemroot%\programs\ini.exe,对应注册表值为:
software\microsoft\active setup\installed components\{h8i22rb03-ab-b70-7-11d2-9cbd-0o00fs7ah6-9e2121bhjlk}
名称:stubpath
数值:%windir%\programs\fuckme.vbs
(11)新建动态链接库文件%systemroot%\programs\wsock32.dll
(12)创建线程,遍历除a盘和c盘两盘符外所有盘符下的文件,查找扩展名为”html””htm””asp””aspx””php””jsp”的网页文件,一旦发现则在其中嵌入不可见的页面元素,指向挂马网址。同时查找扩展名为”gho””gho””gho”的ghost恢复文件,一旦发现则立即删除,防止用户恢复系统。
(13)创建线程,建立消息循环,依次搜索局域网同一网段内的所有ip地址,尝试通过弱口令连接局域网内其他计算机,并试图将自身以kav32.exe为名称复制到目标计算机的共享文件夹以及c、d、e、f四个驱动器的根目录下。一旦成功,则以隐藏窗口远程运行该程序,感染局域网内其他机器。
(14)创建线程,获取系统路径。将自身复制到系统任务计划文件夹下并重命名:%systemroot%\tasks\安装.bat。 遍历除a盘和c盘两盘符外所有盘符下的文件,查找扩展名为”rar””zip””tgz””cab””tar”的压缩包,一旦发现,则调用winrar命令行将%systemroot%\tasks\安装.bat添加到压缩包中
(15)创建线程,从指定网址下载病毒到本地,并存储为%temp%\configmon.dat。成功后运行该程序。
(16)创建线程,遍历c盘所有文件夹,并将%systemroot%\programs\wsock32.dll复制到每一个文件夹目录下,用以替换正常系统文件。
(17)创建线程,反复从指定网址下载病毒,并存储为%systemdriver%\__default.pif。成功后运行该程序。
(18)创建线程,修改hosts文件,屏蔽以下安全软件或可能获得安全支持的网址:“360.qihoo.com”“qihoo.com””www.qihoo.com””www.qihoo.cn””124.40.51.17””58.17.236.92””www.kaspersky.com””60.210.176.251””www.cnnod32.cn””www.lanniao.org””www.nod32club.com””www.dswlab.com””bbs.sucop.com””www.virustotal.com””tool.ikaka.com””www.jiangmin.com””www.duba.net””www.eset.com.cn””www.nod32.com””shadu.duba.net””union.kingsoft.com””www.kaspersky.com.cn””kaspersky.com.cn””virustotal.com””www.360.cn””www.360safe.cn””www.360safe.com””www.chinakv.com””www.rising.com.cn””rising.com.cn””dl.jiangmin.com””jiangmin.com”
(19)创建线程,建立消息循环。清空系统临时文件夹%temp%\和帮助文件加%systemroot%\help\。清空开机启动项,防止安全软件开机启动。对应注册表项:
hkey_local_machine\software\microsoft\windows\currentversion\run\
(20)建立死循环,反复清空安全启动注册表项,用以阻止用户进入安全模式,被清空的注册表项为:
hkey_local_machine\system\currentcontrolset\control\safeboot\network\
hkey_local_machine\system\currentcontrolset\control\safeboot\minimal\
病毒创建文件:
%systemroot%\programs\ini.exe
%systemroot%\programs\desktop.ini
x:\autorun.inf(x为可移动存储器的盘符)
x:\recycle.{645ff040-5081-101b-9f08-00aa002f954e}\ini.exe(x为可移动存储器的盘符)
%systemroot%\programs\fuckme.vbs
%systemroot%\programs\wsock32.dll
%systemroot%\tasks\安装.bat
%temp%\configmon.dat
%systemdriver%\__default.pif
病毒修改文件:
%systemroot%\system32\drivers\etc\hosts
病毒创建注册表:
software\microsoft\active setup\installed components\{h8i22rb03-ab-b70-7-11d2-9cbd-0o00fs7ah6-9e2121bhjlk}
病毒删除注册表:
hkey_local_machine\software\microsoft\windows script host\settings
hkey_local_machine\system\currentcontrolset\control\safeboot\network\afd
hkey_local_machine\software\microsoft\windows\currentversion\run\(被清空)
khey_local_machine\system\currentcontrolset\control\safeboot\network\(被清空)
hkey_local_machine\system\currentcontrolset\control\safeboot\minimal\(被清空)
病毒访问网络:
http://www.***.cn/1.htm
http://180.***.222.137/1.exe
http://180.***.222.137/360safe.exe
