蠕虫病毒
worm.win32.generic.mu
捕获时间
2012-09-04
危害等级
中
病毒症状
该样本是使用“c\c ”编写的“蠕虫程序”,由微点主动防御软件自动捕获,长度为“40,960 ”字节,图标为“
”,使用“exe”扩展名,通过网络共享、网页挂马、下载器下载等方式进行传播。病毒主要目的是感染用户系统、访问恶意网址等。用户中毒后,会出现网络运行缓慢,网络端口开启,运行未知进程等现象。
感染对象
windows 2000/windows xp/windows 2003/windows vista/ windows 7
传播途径
网络共享、网页挂马、下载器下载
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知间谍软件”,请直接选择删除处理(如图1)
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现网络蠕虫"worm.win32.generic.mu”,请直接选择删除(如图2)
图2 微点主动防御软件升级后截获已知病毒
未安装微点主动防御软件的手动解决办法:
1.手动停止并删除服务
"dlanx"、"nvmini"
2.手动删除文件
"%systemroot%\linkinfo.dll"
"移动磁盘根目录\boot.exe"
"移动磁盘根目录\"autorun.inf"
"%systemroot%\apppatch\aclue.dll"
"共享目录\setup.exe"
"%systemroot%\system32\drivers\nvmini.sys"
"%systemroot%\system32\drivers\isdrv118.sys"
替换文件"%systemroot%\system32\drivers\etc\hosts"
3.修复所有被感染的*.exe文件
变量声明:
%systemdriver% 系统所在分区,通常为“c:\”
%systemroot% windodws所在目录,通常为“c:\windows”
%documents and settings% 用户文档目录,通常为“c:\documents and settings”
%temp% 临时文件夹,通常为“c:\documents and settings\当前用户名称\local settings\temp”
%programfiles% 系统程序默认安装目录,通常为:“c:\programfiles”
病毒分析:
1.获取系统目录,创建文件"c:\windows\linkinfo.dll",写入病毒数据。
2.加载"c:\windows\linkinfo.dll"到当前进程地址空间,调用其导出函数"#101",该函数获取系统目录,创建文件"c:\windows\system32\drivers\isdrv118.sys",写入病毒数据。加载该文件到系统地址空间并执行,并删除该文件。
3.打开名字为"pnp#dmutex#1#dl5"的互斥对象,防止重复执行,提升当前进程权限为"sedebugprivilege(调试特权级)"。
4.创建进程快照,查找进程"explorer.exe",将文件"c:\windows\linkinfo.dll"注入到该进程地址空间并执行。
5."c:\windows\linkinfo.dll"运行之后,开辟多线程:
(1)将文件"c:\windows\apppatch\aclue.dll.new"拷贝重命名为"c:\windows\apppatch\aclue.dll",并加载该文件到当前进程地址空间,获取其导出函数,之后删除"aclue.dll.new"。
(2)监控所有可移动设备,并向其写入病毒文件"boot.exe"、"autorun.inf",并设置文件属性为只读、隐藏、系统。
(3)遍历所有磁盘,查找并感染除了目录"\qq"、"local settings\temp\"、"\windows\"、"\winnt\"以及名字为"zhengtu.exe"、"audition.exe"、"kartrider.exe"、"nmservice.exe"、"ca.exe"、"nmcosrv.exe"、 "nsstarter.exe"、"maplestory.exe"、"neuz.exe"、"zfs.exe"、"gc.exe"、"mts.exe"、"hs.exe"、 "mhclient-connect.exe"、"dragonraja.exe"、"nbt-dragonraja2006.exe"、"wb-service.exe"、"game.exe"、"xlqy2.exe"、"sealspeed.exe"、"asktao.exe"、"dbfsupdate.exe"、 "autoupdate.exe"、"dk2.exe"、"main.exe"、"userpic.exe"、"zuonline.exe"、"config.exe"、 "mjonline.exe"、"patcher.exe"、"meteor.exe"、"cabalmain.exe"、"cabalmain9x.exe"、 "cabal.exe"、"au_unins_web.exe"、"大话西游.exe"、"xy2.exe"、"flyff.exe"、"xy2player.exe"、"trojankiller.exe"、"patchupdate.exe"、 "ztconfig.exe"、"woool.exe"、"wooolcfg.exe"等之外的所有"*.exe"文件。
(4)提升当前进程权限为"sedebugprivilege(调试特权级)",破坏瑞星卡卡安全助手文件"c:\windows\system32\drivers\rsboot.sys"。
(5)向其他网络共享目录写入病毒文件"setup.exe",并尝试登陆其他主机,并创建名字为"dlanx"的服务,执行映像指向"setup.exe"。
(6)强制结束进程"sxs.exe"、"logo1_.exe"、"fuckjacks.exe"、"spoclsv.exe"、"nvscv32.exe"、"svch0st.exe"、 "c0nime.exe"、"iexpl0re.exe"、"ssopure.exe"、"upxdnd.exe"、"wdfmgr32.exe"、"spo0lsv.exe"、 "ncscv32.exe"等多个病毒进程。
(7)将文件"c:\windows\system32\drivers\etc\hosts"移动重命名为"c:\windows\system32\drivers\etc\hosts.txt",并用病毒文件替换该文件。
(8)已挂起的方式创建新进程""c:\program files\internet explorer\iexplore.exe" -nohome",将病毒数据注入该进程地址空间并执行。
(9)创建文件"c:\windows\system32\drivers\nvmini.sys",写入病毒数据,并创建名字为"nvmini"的服务,启动类型为自动,执行映像执行"c:\windows\system32\drivers\nvmini.sys",之后启动此服务。
病毒创建文件:
"%systemroot%\linkinfo.dll"
"移动磁盘根目录\boot.exe"
"移动磁盘根目录\"autorun.inf"
"%systemroot%\apppatch\aclue.dll"
"共享目录\setup.exe"
"%systemroot%\system32\drivers\nvmini.sys"
"%systemroot%\system32\drivers\isdrv118.sys"
"%systemroot%\system32\drivers\etc\hosts"
病毒访问网络:
"http://info.95****.com/info.asp"
