网络蠕虫
net-worm.win32.small.n
捕获时间
2009-8-24
危害等级
高
病毒症状
该样本是使用“vc”编写的蠕虫病毒,由微点主动防御软件自动捕获,长度为“20,480 字节”,图标为“
”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“网页挂马”、“移动存储介质”等方式传播,病毒主要目的为下载安装木马程序。
用户中毒后,会出现无法正常打开杀毒软件窗口、系统运行缓慢、网络速度降低、摄像头无故被启用、系统无故关机、重要信息外泄、浏览网页时总是被指定到同一个网址、出现大量未知进程等现象。
感染对象
windows 2000/windows xp/windows 2003
传播途径
网页木马、文件捆绑、下载器下载
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“可疑程序”,请直接选择删除处理(如图1);
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"net-worm.win32.small.n”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
未安装微点主动防御软件的手动解决办法:
1、手动恢复以下文件:
拷贝相同版本文件到: %systemroot%\system32\ctfmon.exe
2、手动删除以下文件:
%systemroot%\system32\wins\svchost.exe
x:\delrunme.bat (x为病毒主程序目录)
%systemroot%\system32\dllcache\ctfmon.exe
%systemroot%\system32\arp.com
%systemroot%\tasks\绿化.bat
%temp%\hhgaxai9th.pif
3、手动恢复以下注册表值:
恢复安全模式:
键:hkey_local_machine\system\currentcontrolset\control\safeboot\network\afd
值:[默认]
数据: service
键: hkey_local_machine\system\currentcontrolset\control\safeboot\minimal\appmgmt
值:[默认]
数据:service
变量声明:
%systemdriver% 系统所在分区,通常为“c:\”
%systemroot% windodws所在目录,通常为“c:\windows”
%documents and settings% 用户文档目录,通常为“c:\documents and settings”
%temp% 临时文件夹,通常为“c:\documents and settings\当前用户名称\local settings\temp”
%programfiles% 系统程序默认安装目录,通常为:“c:\programfiles”
病毒分析
(1)创建互斥体,防止多次运行。
(2)创建线程,获得当前进程快照,查找并终止进程ctfmon.exe。
(3)将%systemroot%\system32\ctfmon.exe复制到%systemroot%\system32\wins\svchost.exe,执
行%systemroot%\system32\wins\svchost.exe,完成后,删除文件%systemroot%\system32\ctfmon.exe。
(4)在病毒主程序同目录下创建名为delrunme.bat的批处理并执行,将病毒自身重命名复制到%systemroot%\system32\ctfmon.exe
和%systemroot%\system32\dllcache\ctfmon.exe, 完成后,删除自身并执行%systemroot%\system32\ctfmon.exe。
(5)创建线程,检查当前窗口文本,一旦找到与反病毒相关的关键字,通过消息循环,不断发送退出消息将窗口关闭,终止目标进程,
使用户无法正常使用杀毒软件。
(6)创建线程,遍历所有磁盘文件,查找后缀名为:html、html、htm、htm、asp、aspx、php、jsp的文件,如果找到,插入一段恶意
代码到目标文件,使用户打开目标文件后自动访问黑客指定网址,并且删除所有后缀名为gho的文件,使用户丢失系统备份数据。
(7)创建线程,访问黑客指定网址,下载病毒重命名后复制到%systemroot%\system32\arp.com执行。
(8) 创建线程,获得被感染机器主机名和ip段,通过执行%systemroot%\system32\arp.com往ip段内其它主机80端口发送恶意代码数据,
使目标主机用户访问网页时被嵌入恶意代码,强迫用户访问黑客指定网址。
(9)创建线程,利用自定义的弱口令列表猜解被感染主机ip段内其它主机的管理员密码,一旦猜解成功,病毒将自身重命名为
hackshen.exe复制到目标主机的各个共享文件夹下并执行,达到网络传播目的。
(10)创建线程,将病毒自身复制到%systemroot%\tasks\绿化.bat,添加到任务计划,每隔一段时间便执行病毒。
(11)创建线程,搜索winrar的安装目录,如果找到,遍历磁盘所有格式为rar、zip、tgz、cab、tar的压缩文件,通过调用rar.exe程序将目标压缩包解压,将病毒程序“绿化.bat”复制到解压出的文件夹,之后再压缩回去,完成将病毒添加到压缩包的功能。
(12)创建线程,从病毒作者指定网址下载一个木马服务端程序到本地的%temp%\hhgaxai9th.pif(文件名随机生成),并执行,使被感主
机伦为傀儡机器,任由黑客控制。
(13)删除注册表相关键值,使用户无法进入安全模式。
病毒创建文件:
%systemroot%\system32\wins\svchost.exe
x:\delrunme.bat (x为病毒主程序目录)
%systemroot%\system32\ctfmon.exe
%systemroot%\system32\dllcache\ctfmon.exe
%systemroot%\system32\arp.com
%systemroot%\tasks\绿化.bat
%temp%\hhgaxai9th.pif
病毒删除文件:
%systemroot%\system32\ctfmon.exe
病毒删除注册表:
hkey_local_machine\system\currentcontrolset\control\safeboot\network\afd
hkey_local_machine\system\currentcontrolset\control\safeboot\minimal\appmgmt
病毒访问网络:
http://www.hack***j.cn/muma.htm
http://www.hack**j.cn/wincap.exe
http://www.hack**j.cn/arp.exe
http://www.hack***j.cn/server.exe |
