Worm.Win32.AutoRun.bem

病毒標籤

檔案長度： 28,000位元組

感染系統： Windows98以上版本

開發工具： Borland Delphi 6.0 - 7.0

加殼類型： Upack 0.3.9 beta2s

行為分析

本地行為

1、檔案運行後會衍生以下檔案

（1）%WinDir%\Fonts\system\ati2evxx.exe 28,000位元組

（2）在各個邏輯驅動器根目錄下衍生autorun.inf及其對應的執行檔案ntldr.exe

%DriveLetter%\autorun.inf

%DriveLetter%\ntldr.exe

2、新建註冊表

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

註冊表值："TBMonEx"

類型： REG_SZ

值： " C:\WINDOWS\Fonts\system\ati2evxx.exe"

描述：添加啟動項，以達到隨機啟動的目的

3、添加映像劫持項，劫持眾多計算機安全相關軟體，劫持到C:\WINDOWS\Fonts\system\ati2evxx.exe

被劫持的檔案：

360rpt.exe

360Safe.exe

360tray.exe

_AVP32.EXE

_AVPCC.EXE

_AVPM.EXE

ACKWIN32.EXE

ANTI-TROJAN.EXE

APVXDWIN.EXE

AUTODOWN.EXE

AVCONSOL.EXE

AVE32.EXE

AVGCTRL.EXE

AVKSERV.EXE

AVNT.EXE

AVP.EXE

AVP32.EXE

AVPCC.EXE

AVPDOS32.EXE

AVPM.EXE

AVPTC32.EXE

AVPUPD.EXE

AVSCHED32.EXE

AVWIN95.EXE

AVWUPD32.EXE

BLACKD.EXE

BLACKICE.EXE

CFIADMIN.EXE

CFIAUDIT.EXE

CFINET.EXE

CFINET32.EXE

CLAW95.EXE

CLAW95CF.EXE

CLEANER.EXE

CLEANER3.EXE

DVP95.EXE

DVP95_0.EXE

ECENGINE.EXE

EGHOST.EXE

ESAFE.EXE

EXPWATCH.EXE

F-AGNT95.EXE

F-PROT.EXE

F-PROT95.EXE

F-STOPW.EXE

FESCUE.EXE

FINDVIRU.EXE

FP-WIN.EXE

FPROT.EXE

FRW.EXE

IAMAPP.EXE

IAMSERV.EXE

RAVmonD.exe

IBMASN.EXE

IBMAVSP.EXE

ICLOAD95.EXE

ICLOADNT.EXE

ICMON.EXE

ICSUPP95.EXE

ICSUPPNT.EXE

IFACE.EXE

IOMON98.EXE

Iparmor.exe

JEDI.EXE

KAV32.exe

KAVPFW.EXE

KAVsvc.exe

KAVSvcUI.exe

KVFW.EXE

KVMonXP.exe

KVMonXP.kxp

KVSrvXP.exe

KVwsc.exe

KvXP.kxp

KWatchUI.EXE

LOCKDOWN2000.EXE

Logo1_.exe

Logo_1.exe

LOOKOUT.EXE

LUALL.EXE

MAILMON.EXE

MOOLIVE.EXE

MPFTRAY.EXE

N32SCANW.EXE

Navapsvc.exe

Navapw32.exe

NAVLU32.EXE

NAVNT.EXE

navw32.EXE

NAVWNT.EXE

NISUM.EXE

NMain.exe

NORMIST.EXE

NUPGRADE.EXE

NVC95.EXE

PAVCL.EXE

PAVSCHED.EXE

PAVW.EXE

PCCWIN98.EXE

PCFWALLICON.EXE

PERSFW.EXE

PFW.EXE

Rav.exe

RAV7.EXE

RAV7WIN.EXE

RAVmon.exe

RAVtimer.exe

Rising.exe

SAFEWEB.EXE

SCAN32.EXE

SCAN95.EXE

SCANPM.EXE

SCRSCAN.EXE

SERV95.EXE

SMC.EXE

SPHINX.EXE

SWEEP95.EXE

TBSCAN.EXE

TCA.EXE

TDS2-98.EXE

TDS2-NT.EXE

THGUARD.EXE

TrojanHunter.exe

VET95.EXE

VETTRAY.EXE

VSCAN40.EXE

VSECOMR.EXE

VSHWIN32.EXE

VSSTAT.EXE

WEBSCANX.EXE

WFINDV32.EXE

ZONEALARM.EXE

修復工具.exe

4、感染非系統盤符下的大部分exe檔案，感染方式：在檔案尾部加一個.ani節，將病毒信息寫入其中，原入口點寫入.ani節中進行保存，入口點改為病毒運行入口，修改節表與映像大小等信息。

網路行為

以進程ati2evxx.exe連線網路：69.64.147.*:666，下載病毒檔案並回傳信息。

注釋：

%Windir%　 　 　 WINDODWS所在目錄

%DriveLetter%　 　 邏輯驅動器根目錄

%ProgramFiles%　 　系統程式默認安裝目錄

%HomeDrive%　 　 當前啟動系統所在分區

%Documents and Settings%　 　當前用戶文檔根目錄

%Temp%　 　 　 　當前用戶TEMP快取變數；路徑為：

%Documents and Settings%\當前用戶\Local Settings\Temp

%System32%　 　 　 是一個可變路徑；

病毒通過查詢作業系統來決定當前System32資料夾的位置；

Windows2000/NT中默認的安裝路徑是　C:\Winnt\System32；

Windows95/98/Me中默認的安裝路徑是　C:\Windows\System；

WindowsXP中默認的安裝路徑是　C:\Windows\System32。

清除方案

1、使用安天防線可徹底清除此病毒(推薦)。

2、手工清除請按照行為分析刪除對應檔案，恢復相關係統設定。推薦使用ATool管理工具。

（1）使用安天木馬防線或ATool中的“進程管理”關閉病毒進程

C:\WINDOWS\Fonts\system\ati2evxx.exe

（2）強行刪除病毒檔案

%WinDir%\Fonts\system\ati2evxx.exe 28,000位元組

%DriveLetter%\autorun.inf

%DriveLetter%\ntldr.exe

（3）刪除病毒添加的註冊表項

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

註冊表值："TBMonEx"

類型： REG_SZ

值： " C:\WINDOWS\Fonts\system\ati2evxx.exe"

（4）清除映像劫持下病毒添加的註冊表項。

（5）使用AVLPK安天終級專殺工具可徹底清除該病毒及修復其感染的正常檔案。