病毒標籤
病毒名稱: Worm.Win32.AutoRun.enw
檔案 MD5: 95d052a6fdd3f92b42d571be0fe80892
感染系統: Windows98以上版本
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: Upack V0.37-V0.39 -> Dwing [Overlay] *
病毒描述
ASUS.exe、ACER.exe、MuTemp.exe是病毒的副本檔案,在病毒運行時同時被運行,實現進程互鎖。jxxgmw.exe和jxxgmw.nls是病毒檔案的備份;病毒在各磁碟分區創建autorun.inf和病毒檔案,用以達到用隨身碟等移動存儲設備傳播的目的;病毒運行後釋放beep.sys檔案,載入此檔案,創建系統服務用來恢復系統的ssdt以此來關閉防毒軟體的主動防禦;病毒修改、刪除註冊表項,使隱藏檔案無法顯示,並使用戶無法更改資料夾選項。病毒添加註冊表,添加自啟動項,添加大量的映像劫持項,用來禁止系統工具如註冊表編輯器、防毒軟和其他安全工具的運行;病毒連線網路更新自身;病毒運行後自刪除。
行為分析
本地行為
1、檔案運行後會釋放以下檔案
%DriveLetter%\ASUS.exe 67,260 位元組
%DriveLetter%\autorun.inf 145 位元組
%HomeDrive%\ASUS.exe 67,260 位元組
%HomeDrive%\autorun.inf 145 位元組
%System32%\ASUS.exe 67,260 位元組
%System32%\ACER.exe 67,260 位元組
%System32%\MuTemp.exe 67,260 位元組
%System32%\jxxgmw.exe 67,260 位元組
%System32%\jxxgmw.nls 67,260 位元組
以下兩個檔案為系統檔案UrlMon.dll,被病毒更改名稱為:
%System32%\musz1s.dll 594,432 位元組
%System32%\musz2s.dll 594,432 位元組
2、進程互鎖
病毒同時運行2個檔案副本ASUS.exe和ACER.exe,當結束其中一個的時候,立即刷新另一個進程重新運行病毒副本,用剩下進程載入另一個檔案,實現進程互鎖。
3、病毒在各磁碟根目錄下建立病毒檔案ASUS.exe和autorun.inf檔案,實現雙擊盤符時運行病毒,及移動存儲設備傳播的目的,autorun.inf內容如下:
[AutoRun]
shell\open=打開(&O)
shell\open\Command=ASUS.exe
shell\open\Default=1
shell\explore=資源管理器(&X)
shell\explore\Command=ASUS.exe
4、還原ssdt
病毒載入beep.sys檔案用其還原系統ssdt使防毒軟體的主動防禦失效,並將其添加到服務當中,是系統每次重新啟動都會載入次驅動,實現防毒軟體的永久失效。
5、刪除註冊表項,破壞安全模式
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}\]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}\@]
鍵值: 字元串: "DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}\]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}\@]
鍵值: 字元串: "DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}\]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}\@]
鍵值: 字元串: "DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}\]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}\@]
鍵值: 字元串: "DiskDrive"
6、通過修改註冊表隱藏檔案
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\.
Folder\Hidden\SHOWALL\CheckedValue]
鍵值: DWORD: 1 (0x1)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden]
新: DWORD: 0 (0)
舊: DWORD: 1 (0x1)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Type]
新: 字元串: "checkbox2"
舊: 字元串: "checkbox"
7、添加啟動項
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run]
鍵值: ACER.exe
字元串: "C:\WINDOWS\system32\ACER.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run]
鍵值: ASUS.exe
字元串: "C:\WINDOWS\system32\ASUS.exe"
[HKLM\System\CurrentControlSet\Services]
項:RESSDT
符串:c:\windows\system32\drivers\beep.sys
8、映像劫持
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe]
註冊表值: "Debugger"
類型: REG_SZ
值: "ntsd -d"
同時劫持的字串有:
360rpt.exe
360Safe.exe
360safebox.exe
360tray.exe
adam.exe
AgentSvr.exe
AntiU.exe
AoYun.exe
appdllman.exe
AppSvc32.exe
ArSwp.exe
AST.exe
auto.exe
AutoRun.exe
autoruns.exe
av.exe
AvastU3.exe
avconsol.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
AvU3Launcher.exe
CCenter.exe
ccSvcHst.exe
Cleanup.dll
cqw32.exe
cross.exe
Discovery.exe
divx.dll
divxdec.ax
DJSMAR00.dll
DRMINST.dll
EGHOST.exe
EncodeDivXExt.dll
EncryptPatchVer.dll
FileDsty.exe
FTCleanerShell.exe
fullsoft.dll
FYFireWall.exe
GBROWSER.DLL
ghost.exe
guangd.exe
HijackThis.exe
htmlmarq.ocx
htmlmm.ocx
IceSword.exe
iparmo.exe
Iparmor.exe
irsetup.exe
ishscan.dll
isPwdSvc.exe
ISSTE.dll
javai.dll
jvm_g.dll
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPF.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
kernelwind32.exe
KISLnchr.exe
kissvc.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPfwSvc.exe
KRegEx.exe
KRepair.com
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
等,其中包括系統工具、各防毒軟體和安全工具。
網路行為
病毒連線網路,更新自身
連線地址:60.190.253.***
病毒運行後向遠程計算機60.190.253.***傳送請求,要求更新病毒程式,當對比發現本地病毒版本較低時,從遠程計算機下載新版本病毒。
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 當前用戶TEMP快取變數
%Windir%\ WINDODWS所在目錄
%DriveLetter%\ 邏輯驅動器根目錄
%ProgramFiles%\ 系統程式默認安裝目錄
%HomeDrive% = C:\ 當前啟動的系統的所在分區
%Documents and Settings%\ 當前用戶文檔根目錄
清除方案
1、使用安天防線可徹底清除此病毒(推薦)。
(1)使用ATOOL結束病毒進程ASUS.exe,ACER.exe。(注意:由於進程互鎖的原因,要一起結束所有運行的病毒進程。)
(2) 刪除病毒檔案
%DriveLetter%\ASUS.exe 67,260 位元組
%DriveLetter%\autorun.inf 145 位元組
%HomeDrive%\ASUS.exe 67,260 位元組
%HomeDrive%\autorun.inf 145 位元組
%System32%\ASUS.exe 67,260 位元組
%System32%\ACER.exe 67,260 位元組
%System32%\MuTemp.exe 67,260 位元組
%System32%\jxxgmw.exe 67,260 位元組
%System32%\jxxgmw.nls 67,260 位元組
%System32%\musz1s.dll 594,432 位元組
%System32%\musz2s.dll 594,432 位元組
(3) 從其他XP系統的機器上拷貝檔案UrlMon.dll放到%System32%目錄下。
(4) 恢復註冊表
1.用註冊表工具刪除以下註冊表項
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run]
鍵值: ACER.exe
字元串: "C:\WINDOWS\system32\ACER.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run]
鍵值: ASUS.exe
字元串: "C:\WINDOWS\system32\ASUS.exe"
[HKLM\System\CurrentControlSet\Services]
項:RESSDT
符串:c:\windows\system32\drivers\beep.sys
2.將一下項目導入到註冊表中:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}\]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
{4D 36E967-E325-11CE-BFC1-08002BE10318}\@]
鍵值: 字元串: "DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}\]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}\@]
鍵值: 字元串: "DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}\]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}\@]
鍵值: 字元串: "DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}\]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}\@]
鍵值: 字元串: "DiskDrive"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder
\Hidden\SHOWALL\CheckedValue]
鍵值: DWORD: 1 (0x1)
3.將一下鍵值改回原鍵值:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden]
新: DWORD: 0 (0)
舊: DWORD: 1 (0x1)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Type]
新: 字元串: "checkbox2"
舊: 字元串: "checkbox"
