捕获时间
2008-12-4
病毒摘要
该样本是使用“ vc ”编写的蠕虫程序,由微点主动防御软件自动捕获,程序未加壳,文件长度为“95,556字节”,图标为“”,使用“exe”扩展名,通过“网页木马”、“文件捆绑”、“移动存储介质”等途径植入用户计算机,运行后感染文件并联网下载其他木马到本地运行。
感染对象
windows 2000/windows xp/windows 2003
传播途径
网页木马、文件捆绑、移动存储介质
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);
图1 主动防御自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"worm.win32.autorun.imd”,请直接选择删除(如图2)。
图2 升级后截获已知病毒
对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、建议关闭u盘自动播放,具体操作步骤:开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取ag旗舰厅首页的技术支持。
4、开启windows自动更新,及时打好漏洞补丁。
病毒分析
该样本程序被执行后,创建名为“fuall”的互斥体,防止程序的再次调用,拷贝自身到%systemroot%\system32\与%systemroot%\system32\dllcache目录下,名称分别为“xpserve.exe”、“lsoss.exe”,并修改“xpserve.exe”文件属性为“隐藏”。
修改如下注册表健值实现病毒随机启动、不显示隐藏文件、禁止使用dos程序、禁止使用注册表编辑器、屏蔽[internet选项]的[安全]选项卡:
| |
项:hklm\software\microsoft\windows nt\currentversion\winlogon
健值:system
指向数据:%system%\dllcache\lsoss.exe"
项:hkcu\ software\microsoft\windows\currentversion\explorer\advanced
健值:showsuperhidden
指向数据:1
项:hkcu\ software\microsoft\windows\currentversion\explorer\advanced \folder
\superhidden
健值:type
指向数据:checkbox
项:hkcu\software\microsoft\windows\currentversion\policies\explorer
健值:nocommon groups
指向数据:1
项:hkcu\software\microsoft\windows\currentversion\policies\winold-app\disabled
健值:disabled
指向数据:1
健值:norealmode
指向数据:1
项:hkcu\software\microsoft\windows\currentversion\policies\system
健值:disableregistrytools
指向数据:1
项:hkcu\software\policies\microsoft\internet explorer\control pane
健值:securitytab
指向数据:1 |
|
删除注册表相关键值破坏安全模式,阻止用户进入安全模式:
| |
项:
hklm\system\controlset001\control\safeboot\minimal\{4d36e967-e325-11ce-bfc1-08002be10318}
项:
hklm\system\controlset001\control\safeboot\network\{4d36e967-e325-11ce-bfc1-08002be10318}
项:
hklm\system\currentcontrolset\control\safeboot\minimal\{4d36e967-e325-11ce-bfc1-08002be10318}
项:
hklm\system\currentcontrolset\control\safeboot\network\{4d36e967-e325-11ce-bfc1-08002be10318} |
|
删除映象劫持、计算机管理clsid、注册表信息文件所对应的注册表健值:
| |
项:
hklm\ software\microsoft\windows nt\currentversion\image file execution options
项:
hkcu\software\policies\microsoft\mmc\{58221c66-ea27-11cf-adcf-00aa00a80033}
项:
hklm\ software\classes\regfile\shell\open\command |
|
遍历非系统盘所有盘符的 “exe”文件,重写替换文件头内容与病毒自身文件内容一致,并删除“gho”类型文件,达到破坏用户资料目的。
等待联网状态访问下列网址下载木马到%systemroot%\system32\目录下,名称为
“xpserve.execnd1.exe”,下载后自动调用运行木马。
| |
| http ://www.k***k.cn/up.exe |
|
调用系统api函数“sleep”暂隔200000ms访问下列加密的网址,实现动态访问指定的广告链接:
| |
| http ://www.k***k.cn/a3.htm |
|
网页脚本内容为:
不断遍历磁盘,拷贝自身名为“net.exe”到磁盘分区根目录,并创建“autorun.inf”文件,均修改属性为“隐藏”,“autorun.inf”内容为:
| |
[autorun]
open=net.exe
shell\open=打开(&o)
shell\open\command=net.exe
shell\open\default=1
shell\explore=资源管理器(&x)
shell\explore\command=net.exe
shellexecute=net.exe
shell\auto\command=net.exe |
|
|
