病毒相关分析
该病毒伪装成windows升级程序,不明真相的用户很可能会被骗点击该文件。超级巡警在捕获该样本后,对样本进行了详细的分析。该病毒运行后释放病毒副本到各个逻辑驱动器的根目录下,修改系统时间,对安全软件进行映像劫持,使安全软件失效,删除安全模式相关键值,并卸载杀毒软件的主动防御,连接网络下载病毒,严重的干扰了用户使用计算机并威胁用户计算机系统安全。超级巡警提醒广大用户,要经常使用超级巡警进行全盘扫描,以保证系统不受恶意程序困扰。
一、病毒相关分析:
病毒标签:
病毒名称:Worm.Win32.Autorun.emj
病毒类型:蠕虫
危害级别:4
感染平台:Windows
病毒大小:15,443 字节
SHA1 : 27229E074D889C5EC8C3E0CEA9F4A35F242017EE
加壳类型:NsPack
开发工具:Microsoft Visual C++
病毒行为:
1、病毒运行以后释放文件:
%HomeDrive%autorun.inf
%HomeDrive%MSDOS.EXE
%DriveLetter%autorun.inf
%DriveLetter%MSDOS.EXE
%HomeDrive%o.exe
2、调用sfc_os.dll下的第五号函数,关闭windows文件保护,将病毒文件beep.sys复制到%system%drivers文件夹下替换正常的beep.sys,病毒文件beep.sys的作用是屏蔽杀毒软件的主动防御。
3、调用SetLocalTime函数将系统时间修改为2004年7月22日,使衍生文件的创建时间都为2004年7月22日,衍生病毒文件不容易被用户察觉。
4、调用命令行修改文件访问的权限:
命令行:"C:WINDOWSsystem32cacls.exe" c:windowssystem32packet.dll /e /p everyone:f
命令行:"C:WINDOWSsystem32cacls.exe" c:windowssystem32pthreadVC.dll /e /p everyone:f
命令行:"C:WINDOWSsystem32cacls.exe" c:windowssystem32wpcap.dll /e /p everyone:f
命令行:"C:WINDOWSsystem32cacls.exe" c:windowssystem32driversnpf.sys /e /p everyone:f
命令行:"C:WINDOWSsystem32cacls.exe" c:windowssystem32npptools.dll /e /p everyone:f
命令行:"C:WINDOWSsystem32cacls.exe" c:windowssystem32driversacpidisk.sys /e /p everyone:f
命令行:"C:WINDOWSsystem32cacls.exe" c:windowssystem32wanpacket.dll /e /p everyone:f
命令行:"C:WINDOWSsystem32cacls.exe" c:Documents and SettingsAll Users「开始」菜单程序启动 /e /p everyone:f
提升病毒进程权限
4、提升病毒进程权限,遍历进程,如发现以下进程名就结束:
360Safe.exe、360tray.exe、360rpt.EXE、Runiep.exe、RAv.exe、CCenter.EXE、
RAVMON.EXE、RAVMOND.EXE、GuardField.exe、Ravxp.exe、GFUpd.exe、
kmailmon.exe、kavstart.exe、kwatch.exe、sharedaccess、McShield、KWhatchsvc、
KPfwSvc、Symantec AntiVirus、Symantec AntiVirus Drivers Services、Symantec
AntiVirus Definition Watcher、Norton AntiVirus Server、UpdaterUI.exe、rfwsrv.exe、
rfwProxy.exe、rfwstub.exe、RavStub.exe、rfwmain.exe、rfwmain.exe、TBMon.exe、
KASARP.exe、scan32.exe、VPC32.exe、VPTRAY.exe、ANTIARP.exe、
KRegEx.exe、KvXP.kxp、kvsrvxp.kxp、kvsrvxp.exe、KVWSC.EXE、
Iparmor.exe、Avp.EXE、VsTskMgr.exe
5、添加注册表映像劫持,导致用户运行安全软件,实际运行的是病毒程序,被劫持的安全软件如下:
360rpt.EXE、360safe.EXE、360tray.EXE、Ast.EXE、AVP.EXE、AvMonitor.EXE、
CCenter.EXE、IceSword.EXE、Iparmor.EXE、KVMonxp.KXP、、KVSrvXP.EXE、
KVWSC.EXE、Navapsvc.EXE、Nod32kui.EXE、KRegEx.EXE、
Frameworkservice.EXE、Mmsk.EXE、Ast.EXE、WOPTILITIES.EXE、
Regedit.EXE、AutoRunKiller.EXE"、VPC32.EXE、VPTRAY.EXE、
ANTIARP.EXE、KASARP.EXE、RAV.EXE、kwatch.EXE、kmailmon.EXE、
kavstart.EXE、Runiep.EXE、GuardField.EXE、GFUpd.EXE、rfwmain.EXE、
RavStub.EXE、rfwstub.EXE、rfwstub.EXE、rfwProxy.EXE、rfwsrv.EXE
6、修改注册表项,隐藏文件夹
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionexploreradvancedfolderhiddenshowall "CheckedValue"
7、添加注册表项创建服务,加载驱动beep.sys,同时创建设备".RESSDTDOS"用来做驱动程序与应用程序的交互
8、删除安全模式相关注册表键值,导致用户无法正常进入安全模式:
HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}
9、查找窗口类名为“IEFrame”的窗口,如存在就向该该窗口所在的进程中写入恶意代码。
解决方案
10、下载病毒文件到IE目录下:
http://mmm.xnibi.com/**/10.exe
二、解决方案
推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址:http://www.dswlab.com/d1.html
手工清除方法:
1、结束病毒进程。打开超级巡警ToolsLoader.exe工具(此工具在超级巡警安装目录下),选择进程管理功能,终止update.exe、o.exe进程。
2、删除病毒生成的文件。
%HomeDrive%autorun.inf
%HomeDrive%MSDOS.EXE
%DriveLetter%autorun.inf
%DriveLetter%MSDOS.EXE
%HomeDrive%o.exe
3、删除病毒下载的文件
http://mmm.xnibi.com/**/10.exe
4、修复安全模式启动/映象劫持。打开超级巡警,点安全优化,选择系统修复,选中修复安全模式启动/映象劫持,修复即可。
安全建议
三、安全建议
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、禁用不必要的服务。
3、不要随便打开不明来历的电子邮件,尤其是邮件附件。
4、不要随意下载不安全网站的文件并运行。
5、下载和新拷贝的文件要首先进行查毒。
6、不要轻易打开即时通讯工具中发来的链接或可执行文件。
7、使用移动存储介质进行数据访问时,先对其进行病毒检查,建议使用超级巡警U盘免疫器进行免疫。
注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%System,
在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%System32。其它:
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir% WINDODWS系统目录
%ProgramFiles% 应用程序默认安装目录
%AppData% 应用程序数据目录
%CommonProgramFiles% 公用文件目录
%HomePath% 当前活动用户目录
%Temp% =%Tmp% 当前活动用户临时目录
%DriveLetter% 逻辑驱动器分区
%HomeDrive% 当前用户系统所在分区
网友评论