捕获时间
2009-1-8
病毒摘要
该样本是使用“vc ”编写的蠕虫程序,由微点主动防御软件自动捕获,未加壳,样本长度为“431,104 字节”,图标为“”,病毒扩展名为“exe”,对于设置了不显示隐藏文件且隐藏已知扩展名的用户,有极大的欺骗性,主要通过“诱骗用户点击”、“文件捆绑”、“可移动磁盘传播”等方式传播,病毒主要目的为劫持用户搜索引擎,获取推广利益。
感染对象
windows 2000/windows xp/windows 2003
传播途径
网页木马、文件捆绑、移动存储介质
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"worm.win32.agent.jii”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、建议关闭u盘自动播放,具体操作步骤:开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取ag旗舰厅首页的技术支持。
4、开启windows自动更新,及时打好漏洞补丁。
病毒分析
该样本程序被执行后,查找系统文件夹“%systemroot%\system32”内是否存在文件“winweb.exe”,不存在则复制自身至系统文件夹“%systemroot%\system32”重命名为“winweb.dat”,完成后将“winweb.dat”,复制为“winweb.exe”并释放动态库文件“webad.dll”、“iconhandle.dll”。
修改注册表,将动态库文件“webad.dll”注册为bho,相关注册表项如下:
| |
键:“hkey_classes_root\ad.h.1\clsid”
值:“@”
数据:“{73ef2588-e4d1-4623-9b45-e0bbd6b65e9c}”
键:“hkey_classes_root\ad.h\clsid”
值:“@”
数据:“{73ef2588-e4d1-4623-9b45-e0bbd6b65e9c}”
键:“hkey_classes_root\ad.h\curver”
值:“@”
数据:“ad.h.1”
键:“hkey_classes_root\clsid\{73ef2588-e4d1-4623-9b45-e0bbd6b65e9c}”
值:“@”
数据:“h class”
键:“hkey_classes_root\clsid\{73ef2588-e4d1-4623-9b45-e0bbd6b65e9c}\inprocserver32”
值:“@”
数据:“c:\windows\system32\webad.dll”
键:“hkey_classes_root\clsid\{73ef2588-e4d1-4623-9b45-e0bbd6b65e9c}\progid”
值:“@”
数据:“ad.h.1”
键:“hkey_classes_root\clsid\{73ef2588-e4d1-4623-9b45-e0bbd6b65e9c}\typelib”
值:“@”
数据:“{5a0063a5-f6e9-4947-9d1c-9300ce1bb342}”
键:“hkey_classes_root\clsid\{73ef2588-e4d1-4623-9b45-e0bbd6b65e9c}\versionindependentprogid”
值:“@”
数据:“ad.h”
键:“hkey_local_machine\software\microsoft\windows\currentversion\explorer\browser helper objects\{73ef2588-e4d1-4623-9b45-e0bbd6b65e9c}”
键:“hkey_classes_root\typelib\{5a0063a5-f6e9-4947-9d1c-9300ce1bb342}\1.0”
值:“@”
数据:“ad 1.0 类型库”
键:“hkey_classes_root\typelib\{5a0063a5-f6e9-4947-9d1c-9300ce1bb342}\1.0\0\win32”
值:“@”
数据:“c:\windows\system32\webad.dll”
键:“hkey_classes_root\typelib\{5a0063a5-f6e9-4947-9d1c-9300ce1bb342}\1.0\helpdir”
值:“@”
数据:“c:\windows\system32” |
|
修改注册表,将系统txt文件的图标指向“iconhandle.dll”,更换为“”,相关注册表项如下:
| |
键:“hkey_classes_root\appid\{dd0ad1d0-6c36-4894-b38e-9e5d3392114d”
值:“@”
数据:“iconhandle”
键:“hkey_classes_root\appid\iconhandle.dll”
值:“appid”
数据:“{dd0ad1d0-6c36-4894-b38e-9e5d3392114d}”
键:“hkey_classes_root\iconhandle.seticon.1\clsid”
值:“@”
数据:“{aefa7e78-cf7e-4550-829f-2c786a0070bf}”
键:“hkey_classes_root\iconhandle.seticon\clsid”
值:“@”
数据:“{aefa7e78-cf7e-4550-829f-2c786a0070bf}”
键:“hkey_classes_root\iconhandle.seticon\curver”
值:“@”
数据:“iconhandle.seticon.1”
键:“hkey_classes_root\clsid\{aefa7e78-cf7e-4550-829f-2c786a0070bf}\inprocserver32”
值:“@”
数据:“c:\windows\system32\iconhandle.dll”
键:“hkey_classes_root\clsid\{aefa7e78-cf7e-4550-829f-2c786a0070bf}\progid”
值:“@”
数据:“iconhandle.seticon.1”
键:“hkey_classes_root\clsid\{aefa7e78-cf7e-4550-829f-2c786a0070bf}\typelib”
值:“@”
数据:“{581f1707-4ad0-4b7b-ad6e-057db8f686f3}”
键:“hkey_classes_root\clsid\{aefa7e78-cf7e-4550-829f-2c786a0070bf}\versionindependentprogid”
值:“@”
数据:“iconhandle.seticon”
键:“hkey_classes_root\txtfile\shellex\iconhandler”
值:“@”
数据:“{aefa7e78-cf7e-4550-829f-2c786a0070bf}”
键:“hkey_classes_root\typelib\{581f1707-4ad0-4b7b-ad6e-057db8f686f3}\1.0”
值:“@”
数据:“iconhandle 1.0 类型库”
键:“hkey_classes_root\typelib\{581f1707-4ad0-4b7b-ad6e-057db8f686f3}\1.0\0\win32”
值:“@”
数据:“c:\windows\system32\iconhandle.dll”
键:“hkey_classes_root\typelib\{581f1707-4ad0-4b7b-ad6e-057db8f686f3}\1.0\helpdir”
值:“@”
数据:“c:\windows\system32” |
|
“webad.dll”注册为bho后,将对用户搜索进行劫持,当网址包含“http://www.baidu.com/s”以及“http://www.google.cn/search”时,将用户搜索引擎统一修改为“http://www.google.cn”,读取用户搜索关键字后使用,并加入“client=pub-9647544675692062”的客户端标示进行搜索,为病毒制造者带来搜索引擎推广利益。
若系统文件夹内“%systemroot%\system32”存在文件“winweb.exe”,或用户被图标欺骗,并尝试再次执行样本,样本将启动“winweb.exe”, “winweb.exe”启动后检测自身位置,若为“%systemroot%\system32”目录下,则驻留系统内存,不断遍历可移动磁盘,发现后将可移动磁盘内全部文件夹设置为“系统、隐藏、只读”,并将自身复制至可移动磁盘,数目与原文件夹数目相同,名称与原文件夹同名,达到通过可移动磁盘传播自身的目的。
|
