蠕虫程序
worm.win32.autorun.uec
捕获时间
2011-02-02
危害等级
中
病毒症状
该样本是使用“c/c ”编写的蠕虫,由微点主动防御软件自动捕获,采用“aspack”加壳方式试图躲避特征码扫描,加壳后长度为“83,968”字节,图标为“”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“网页挂马”、“可移动存储器感染”等方式传播,病毒主要目的是盗取用户信息。
用户中毒后,会出现系统运行缓慢,网络拥堵,重要资料丢失等现象。
感染对象
windows 2000/windows xp/windows 2003/windows vista/ windows 7
传播途径
文件捆绑、网页挂马、下载器下载
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“后门程序”,请直接选择删除处理(如图1)
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现木马"worm.win32.autorun.uec”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
未安装微点主动防御软件的手动解决办法:
1.停止名为“6to4”的服务项
2.删除一下注册表项:
hkey_local_machine\system\currentcontrolset\services\6to4\
hkey_local_machine\system\controlset001\services\6to4\
3.清空以下注册表项下的内容:
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\
4.用正常文件替换以下文件:
%systemroot%\system32\appmgmts.dll
%systemroot%\system32\qmgr.dll
%systemroot%\system32\shsvcs.dll
%systemroot%\system32\mspmsnsv.dll
%systemroot%\system32\xmlprov.dll
%systemroot%\system32\ntmssvc.dll
%systemroot%\system32\upnphost.dll
%systemroot%\system32\mswsock.dll
%systemroot%\system32\ssdpsrv.dll
%systemroot%\system32\tapisrv.dll
%systemroot%\system32\browser.dll
%systemroot%\system32\cryptsvc.dll
%systemroot%\system32\pchsvc.dll
%systemroot%\system32\regsvc.dll
%systemroot%\system32\ schedsvc.dll
5.删除以下文件:
%systemroot%\system32\538535a0.sys(随机命名)
%systemroot%\system32\6to4.dll
x\autorun.inf(x为可移动存储器盘符)
x\recycle.{645ff040-5081-101b-9f08-00aa002f954e}\uninstall.exe(x为可移动存储器盘符)
变量声明:
%systemdriver% 系统所在分区,通常为“c:\”
%systemroot% windodws所在目录,通常为“c:\windows”
%documents and settings% 用户文档目录,通常为“c:\documents and settings”
%temp% 临时文件夹,通常为“c:\documents and settings\当前用户名称\local settings\temp”
%programfiles% 系统程序默认安装目录,通常为:“c:\program files”
病毒分析
(1)病毒创建通道设备“\\.\pipe\{d952f2d0-0bce-4b2b-8fff-2317f120fcc3}”
(2)查找安全软件进程“ravmond.exe”、“360tray.exe”、“mpsvc.exe”,若发现则尝试强制结束。
(3)病毒释放hosts文件,替换%systemroot%\system32\drivers\etc\hosts,防止网络被屏蔽。
(4)病毒创建信息记录文件%documents and settings%\infotmp.txt,用以记录用户系统信息以及病毒释放文件路径。
(5)病毒获取临时路径,截取当前屏幕。并将截屏图像保存为%temp%\51352130.log(随机命名)。
(6)完成后,病毒读取自身资源,生成%systemroot%\system32\01c606db.tmp和%systemroot%\system32\538535a0.sys
(7)用01c606db.tmp替换以下任意一服务文件用以开机启动,一旦替换成功则不再替换:
%systemroot%\system32\appmgmts.dll
%systemroot%\system32\qmgr.dll
%systemroot%\system32\shsvcs.dll
%systemroot%\system32\mspmsnsv.dll
%systemroot%\system32\xmlprov.dll
%systemroot%\system32\ntmssvc.dll
%systemroot%\system32\upnphost.dll
%systemroot%\system32\mswsock.dll
%systemroot%\system32\ssdpsrv.dll
%systemroot%\system32\tapisrv.dll
%systemroot%\system32\browser.dll
%systemroot%\system32\cryptsvc.dll
%systemroot%\system32\pchsvc.dll
%systemroot%\system32\regsvc.dll
%systemroot%\system32\ schedsvc.dll
(8)若不成功则将01c606db.tmp改名为6to4.dll,并为其创建服务项,对应注册表值为:
hkey_local_machine\system\currentcontrolset\services\6to4\
名称:imagepath
数值:%systemroot%\system32\svchost.exe -k netsvcs
hkey_local_machine\system\currentcontrolset\services\6to4\parameters\
名称:servicedll
数值:%systemroot%\system32\6to4.dll
hkey_local_machine\system\controlset001\services\6to4\
名称:imagepath
数值:%systemroot%\system32\svchost.exe -k netsvcs
hkey_local_machine\system\controlset001\services\6to4\parameters\
名称:servicedll
数值:%systemroot%\system32\6to4.dll
(9)对以下程序创建映像劫持:360hotfix.exe、360rp.exe、360rpt.exe、360safe.exe、360safebox.exe、360sd.exe、 360se.exe、360softmgrsvc.exe、360speedld.exe、360tray.exe、afwserv.exe、 ast.exe、avastui.exe、avcenter.exe、avfwsvc.exe、avgnt.exe、avguard.exe、 avmaiavmailc.exe、avp.exe、avshadow.exe、avwebgavwebgrd.exe、bdagent.exe、 ccenter.exe、ccsvchst.exe、dwengine.exe、egui.exe、ekrn.exe、filmsg.exe、 kavstart.exe、kissvc.exe、kmailmon.exe、kpfw32.exe、kpfwsvc.exe、 krnl360svc.exe、ksmgui.exe、ksmsvc.exe、kswebshield.exe、kvmonxp.kxp、 kvsrvxp.exe、kwatch.exe、livesrv.exe、mcagent.exe、mcmscsvc.exe、mcnasvc.exe、 mcods.exe、mcproxy.exe、mcshield.exe、mcsysmon.exe、mcvsshld.exe、mpfsrv.exe、 mpmon.exe、mpsvc.exe、mpsvc1.exe、mpsvc2.exe、msksrver.exe、qutmserv.exe、 ravmond.exe、ravtask.exe、rsagent.exe、rsnetsvr.exe、rstray.exe、 safeboxtray.exe、scanfrm.exe、sched.exe、seccenter.exe、sfctlcom.exe、 debugger、spideragent.exe、spiderml.exe、spidernt.exe、spiderui.exe、 tmbmsrv.exe、tmproxy.exe、twister.exe、ufseagnt.exe、vsserv.exe、 zhudongfangyu.exe、修复工具.exe
(10)加载%systemroot%\system32\538535a0.sys,恢复ssdt使部分安全软件失效。并且挂fsd钩子及tcp/ip钩子用以监控用户行为
(11)遍历本地盘符,并获取每个盘符对应的磁盘类型,发现可移动存储器则写入在根目录下创建文件夹recycle.{645ff040-5081-101b-9f08-00aa002f954e},并将病毒自身复制到该文件夹下并命名为uninstall.exe。完成后在磁盘根目录下创建autorun.inf文件,指向病毒。
(12)向指定地址上传%documents and settings%\infotmp.txt和%temp%\51352130.log,成功后删除这两个文件和病毒自身。
(13)病毒替换的动态库文件连接指定网址,等待黑客进一步指令。
病毒创建文件:
%documents and settings%\infotmp.txt
%temp%\51352130.log(随机命名)
%systemroot%\system32\01c606db.tmp(随机命名)
%systemroot%\system32\538535a0.sys(随机命名)
%systemroot%\system32\6to4.dll
x\autorun.inf(x为可移动存储器盘符)
x\recycle.{645ff040-5081-101b-9f08-00aa002f954e}\uninstall.exe(x为可移动存储器盘符)
病毒替换文件:
%systemroot%\system32\appmgmts.dll
%systemroot%\system32\qmgr.dll
%systemroot%\system32\shsvcs.dll
%systemroot%\system32\mspmsnsv.dll
%systemroot%\system32\xmlprov.dll
%systemroot%\system32\ntmssvc.dll
%systemroot%\system32\upnphost.dll
%systemroot%\system32\mswsock.dll
%systemroot%\system32\ssdpsrv.dll
%systemroot%\system32\tapisrv.dll
%systemroot%\system32\browser.dll
%systemroot%\system32\cryptsvc.dll
%systemroot%\system32\pchsvc.dll
%systemroot%\system32\regsvc.dll
%systemroot%\system32\ schedsvc.dll
病毒删除文件:
%documents and settings%\infotmp.txt
%temp%\51352130.log(随机命名)
%systemroot%\system32\01c606db.tmp(随机命名)
病毒创建注册表:
hkey_local_machine\system\currentcontrolset\services\6to4\
名称:imagepath
数值:%systemroot%\system32\svchost.exe -k netsvcs
hkey_local_machine\system\currentcontrolset\services\6to4\parameters\
名称:servicedll
数值:%systemroot%\system32\6to4.dll
hkey_local_machine\system\controlset001\services\6to4\
名称:imagepath
数值:%systemroot%\system32\svchost.exe -k netsvcs
hkey_local_machine\system\controlset001\services\6to4\parameters\
名称:servicedll
数值:%systemroot%\system32\6to4.dll
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\[映像劫持文件名]
病毒连接网络:
174.139.***.105:1246
