蠕虫程序
worm.win32.qvod.da
捕获时间
2010-11-22
危害等级
中
病毒症状
该样本是使用“c/c ”编写的蠕虫程序,由微点主动防御软件自动捕获,采用“petite”加壳方式试图躲避特征码扫描,加壳后长度为“94,028”字节,图标为“”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“网页挂马”、“可移动存储设备感染”等方式传播,病毒主要目的是下载木马程序到本地运行。
用户中毒后,会出现计算机运行缓慢,出现未知进程,网络拥堵等现象。
感染对象
windows 2000/windows xp/windows 2003/windows vista/ windows 7
传播途径
文件捆绑、网页挂马、下载器下载
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1)
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现木马"worm.win32.qvod.da”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
未安装微点主动防御软件的手动解决办法:
1.进入安全模式
2.手动删除%systemroot%\system32\6to4.dll
3.将以下文件替换为正常文件:
%systemroot%\system32\appmgmts.dll
%systemroot%\system32\qmgr.dll
%systemroot%\system32\shsvcs.dll
%systemroot%\system32\mspmsnsv.dll
%systemroot%\system32\xmlprov.dll
%systemroot%\system32\ntmssvc.dll
%systemroot%\system32\upnphost.dll
%systemroot%\system32\mswsock.dll
%systemroot%\system32\ssdpsrv.dll
%systemroot%\system32\tapisrv.dll
%systemroot%\system32\browser.dll
%systemroot%\system32\cryptsvc.dll
%systemroot%\system32\pchsvc.dll
%systemroot%\system32\regsvc.dll
%systemroot%\system32\schedsvc.dll
%systemroot%\system32\drivers\etc\hosts
4.清空hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\下所有注册表项
变量声明:
%systemdriver% 系统所在分区,通常为“c:\”
%systemroot% windodws所在目录,通常为“c:\windows”
%documents and settings% 用户文档目录,通常为“c:\documents and settings”
%temp% 临时文件夹,通常为“c:\documents and settings\当前用户名称\local settings\temp”
%programfiles% 系统程序默认安装目录,通常为:“c:\programfiles”
病毒分析
(1)病毒伪装为qvod主程序,欺骗用户点击。
(2)创建设备“\\.\pipe\{d952f2d0-0bce-4b2b-8fff-2317f120fcc3}”,以免重复运行。
(3)建立进程快照,查找是否存在以下进程存在:ravmond.exe,360tray.exe,mpsvc.exe,若存在则设法结束进程。
(4)完成后病毒获取自身名称以及系统版本等信息,写入到%documents and settings%\infotmp.txt
(5)病毒调用sfc_os.dll中的#5函数,关闭windows系统的文件保护
(6)成功后读取自身资源,替换系统文件%systemroot%\system32\appmgmts.dll,若不成功则依次替换以下系统文件,直至成功为止:
%systemroot%\system32\qmgr.dll
%systemroot%\system32\shsvcs.dll
%systemroot%\system32\mspmsnsv.dll
%systemroot%\system32\xmlprov.dll
%systemroot%\system32\ntmssvc.dll
%systemroot%\system32\upnphost.dll
%systemroot%\system32\mswsock.dll
%systemroot%\system32\ssdpsrv.dll
%systemroot%\system32\tapisrv.dll
%systemroot%\system32\browser.dll
%systemroot%\system32\cryptsvc.dll
%systemroot%\system32\pchsvc.dll
%systemroot%\system32\regsvc.dll
%systemroot%\system32\schedsvc.dll
(7)若均失败则自行创建文件%systemroot%\system32\6to4.dll,并将该动态链接库文件加载为驱动,对应注册表项为:
hkey_local_machine\system\currentcontrolset\services\6to4
(8)%systemroot%\system32\6to4.dll随系统服务项启动,检查自身是否已经注入到%systemroot%\system32\路径下的程序中启动。
(9)创建线程,通过读取%documents and settings%\infotmp.txt的内容,找到病毒源程序的路径。找到后,删除病毒源程序和%documents and settings%\infotmp.txt
(10)创建设备“\\.\gssit”,完成后创建驱动文件%systemroot%\system32\drivers\366f1602.sys(随机命名),完成后将该驱动文件加载为服务项并利用之间创建的设备与该驱动通信对抗杀毒软件。完成后自行删除文件以及注册表项。对应注册表为:
hkey_local_machine\system\currentcontrolset\services\366f1602(随机命名)
(11)建立映像劫持,屏蔽大量安全软件启动。对应注册表位置为:
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\
(12)访问指定网络,下载病毒到本地运行。并下载屏蔽列表到本地替换%systemroot%\system32\drivers\etc\hosts以实现对指定安全网站的屏蔽。
(13)遍历盘符,检查磁盘类型,发现可移动存储器便建立autorun.inf文件,并建立一个伪装为回收站的文件夹recycle.{645ff040-5081-101b-9f08-00aa002f954e} ,将属性设置为系统隐藏。
病毒创建文件:
%documents and settings%\infotmp.txt
%systemroot%\system32\drivers\366f1602.sys(随机命名)
%systemroot%\system32\6to4.dll
病毒替换文件:
%systemroot%\system32\appmgmts.dll
%systemroot%\system32\qmgr.dll
%systemroot%\system32\shsvcs.dll
%systemroot%\system32\mspmsnsv.dll
%systemroot%\system32\xmlprov.dll
%systemroot%\system32\ntmssvc.dll
%systemroot%\system32\upnphost.dll
%systemroot%\system32\mswsock.dll
%systemroot%\system32\ssdpsrv.dll
%systemroot%\system32\tapisrv.dll
%systemroot%\system32\browser.dll
%systemroot%\system32\cryptsvc.dll
%systemroot%\system32\pchsvc.dll
%systemroot%\system32\regsvc.dll
%systemroot%\system32\schedsvc.dll
%systemroot%\system32\drivers\etc\hosts
病毒删除文件:
病毒源程序
%documents and settings%\infotmp.txt
%systemroot%\system32\drivers\366f1602.sys(随机命名)
病毒创建注册表:
hkey_local_machine\system\currentcontrolset\services\366f1602(随机命名)
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\[映像劫持名]
病毒删除注册表:
hkey_local_machine\system\currentcontrolset\services\366f1602(随机命名)
病毒访问网络:
208.***.24.254:8080
65.***.220.46:80
61.***.144.21:7070
121.***.92.209:8080
119.***.59.217:8080
199.***.52.190:80
221.***.150.250:7070