Worm.Win32.AvKiller.be

基本信息

“反病毒殺手變種BE”Worm.Win32.AvKiller.be技術分析報告

病毒名稱：Worm.Win32.AvKiller.be

截獲時間：2007-9-26

入庫版本：19.42.22

類型：病毒

感染的作業系統：Windows XP， Windows NT， Windows Server 2003， Windows 2000

威脅情況

傳播級別：高

全球化傳播態勢：低

清除難度：困難

破壞力：高

破壞手段：通過IM程式傳播，從列表中下載病毒，偷盜用戶敏感信息

傳播過程

病毒運行後，先利用"LookupPrivilegeValueA"，"AdjustTokenPrivileges"提升自己的運行許可權，然後遍歷系統所有進程，查找下列進程: "360Safe.exe"， "360tray.exe" ，"VsTskMgr.exe"，"UpdaterUI.exe"，"TBMon.exe"， "scan32.exe"， "VPC32.exe"，"VPTRAY.exe"， "KRegEx.exe"， "KRegEx.exe"，"kvsrvxp.kxp"，"kvsrvxp.exe"，"KVWSC.EXE"， "Iparmor.exe"， "AST.EXE"，如發現上述中的進程，則利用"TerminateProcess"關掉進程，使當前系統失去保護.

病毒將自身複製到%SYSTEM32%目錄，並將自己重命名為iexplrer.exe和explorer.exe，並利用GetDriveType判斷，向可移動存儲設備和本地磁碟寫入autorun.inf和病毒本身(explorer.exe)，其實autorun.inf的內容如下:

[autorun]

Open=explorer.exe

Shellexecute=explorer.exe

Shell\Auto\command=explorer.exe

Shell=Auto

病毒接下來，會修改注.冊表的如下地方

SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\hidden\showall\ 將CheckedValue值賦為0

修改這裡是為了隱藏檔案

HKEY_CLASSES_ROOT\\Rising.QuickScan\\shell\\open\\command 將這裡的值改為C:\\windows\\system32\\iexplorer.exe

使瑞星的快捷掃描指向病毒.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.EXE\

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.EXE\

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.EXE\

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVP.EXE\

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.EXE\

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.EXE\

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.EXE\

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.EXE\

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonxp.kxp\

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.EXE\

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVWSC.EXE\

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapsvc.EXE\

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nod32kui.EXE\

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.EXE\

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Frameworkservice.EXE\

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Mmsk.EXE\

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Wuauclt.EXE\

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ast.EXE\

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WOPTILITIES.EXE\

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.EXE\

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AutoRunKiller.exe\

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VPC32.exe\

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VPTRAY.exe\

病毒會在上述鍵.值內，加入 Debugger = "C:\WINDOWS\system32\iexplorer.exe" 子鍵和鍵值.被修改後，如果運行上述程式，剛被直接指向到C:\WINDOWS\system32\iexplorer.exe這個病毒上面

接下來，病毒會開啟一個Iexplore.exe，利用FindWindow查找IEFrame，利用GetWindowThreadProcessId得到進程ID，然後打開該進程後，利用VirtualAlloc申請一段記憶體空間，利用WriteProcessMemory寫入一段代碼，代碼的作用就是依次從下面的網址下載程式，並保存在C:\winl.pif，C:\winns.pif，C:\system.pif，c:\windows.pif並運行。

網址如下:

http://%77%77%77%2E%68%61%63%6B%xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

http://%77%77%77%2E%68%61%63%6B%xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

http://%6D%6D%62%65%73%74%39%39%xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

http://%77%77%77%2E%68%61%63%6B%xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

上列地址已經失效，所以無法得知是何類型的病毒。

病毒還會專門針對瑞星.防毒軟體進行破壞，病毒會換Rising目錄下的RavMonD.exe改名為del.exe，將病毒本身複製到Rising目錄中並命名為RavMondD.exe，這樣一來，就使得瑞星監控被破壞。

最後病毒利用SetTimer設定一個CallBack，每兩分鐘執行一次，該段代碼的作用.就是複製自身到%SYSTEM32%目錄中，向可移動存儲設備和本地磁碟寫入autorun.inf和病毒本身，並通過一些即時通信軟體(如：QQ等)向對方傳送病毒本身，但名字改為一些比較有誘惑力的名字，如：我的性感照片等....

安全建議：

1 安裝正版防毒軟體、個人防火牆和卡卡上網安全助手,並及時升級，瑞星防毒軟體每天至少升級三次。

2 使用“瑞星系統安全漏洞掃描”，打好補丁，彌補系統漏洞。

3 不接收QQ、MSN、Emial等傳來.的可疑檔案。

4 上網時打開防毒軟體實時監控功能。

5 把QQ等重要軟體加入到“瑞星帳號保險柜”中，可以有效保護密碼安全。

清除辦法：

瑞星防毒軟體清除辦法：

安裝瑞星防毒軟體，升級到19.42.22版以上，對電腦進行全盤掃描，按照軟體提示進行操作，即可徹底查殺。