扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
来源:赛迪网 2008年04月25日
关键字:msccrt msccrt.exe
病毒名称: Worm.Win32.AutoRun.apm
病毒类型: 蠕虫类
文件 MD5: 2E6CFDA17762A2AAC27B032C7CF40749
公开范围: 完全公开
危害等级: 4
文件长度: 18,992 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: nSPack 2.1 - 2.5
病毒描述:
该病毒为通过U盘等移动存储传播的木马下载器,病毒运行后复制自身到系统目录,衍生病毒文件,其中无论自身副本还是衍生文件,文件名均为随机8位字母和数字组合而成,这样对于病毒的清除带来了很大的困难。创建服务,并以服务的方式达到随机启动的目的。此病毒还会在各个驱动器盘符下创建自启动文件,增加病毒的存活时间。连接网络,下载大量的病毒文件,下载的病毒文件主要是盗号木马。
行为分析:
本地行为:
1、文件运行后会衍生随机8位字母和数字组合成的exe和dll文件,
本实例为B0A5B6E8.EXE和44A98A2C.DLL:
%System32%\44A98A2C.DLL 45,05678 字节
%System32%\B0A5B6E8.EXE 18,99278 字节
在各个驱动器盘符下创建自启动文件autorun.inf,
当打开盘符后便引导病毒体运行:
%DriveLetter%\auto.exe 18,99278 字节
%DriveLetter%\autorun.inf 78 字节
2、修改注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\Advanced
\Folder\Hidden\SHOWALL\CheckedValue]
类型: DWORD
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
描述:使隐藏文件和文件夹不可见
3、删除Windows错误报告服务ERSvc,以降低系统安全性。
4、创建服务并以服务的方式达到随机启动的目的,本服务名称与描述可变,
本次实例为667E56A与44A98A2C:
服务名称:667E56A
显示名称:667E56A
描述语言:44A98A2C
文件路径:C:\WINDOWS\system32\B0A5B6E8.EXE -k
启动方式:自动
5、44A98A2C.DLL插入到Winlogon.exe等系统进程与应用程序进程中,
以进行下载文件和监视的作用。
6、关闭avp.exe进程,检测窗口标题金山毒霸的警告窗体,如果检测到则关闭,
达到对杀毒软件反查杀的能力。
网络行为:
1、连接网络下载病毒文件:
连接网络下载update.txt文件,并以update.txt内的病毒
下载列表下载病毒文件,update.exe内容如下:
[update]
ver=2008010508
url=http://nx.51***.cn/soft/soft/e47e57844ef30ab4.exe
updatetimer=180
[startpage]
startpage=0
url=sssssssssssssssssss
[desktop]
desktop=0
count=1
title1=免费网络电话
url1=http://sk***.tom.com/download/archive
/01400974/SkypeClient.exe
[file]
file=1
file1=http://222.73.247.***/mh0618.exe
filename1=ffsea1.exe
ftime1=0
file2=http://222.73.247.***/my0616.exe
filename2=ffsea2.exe
ftime2=0
file3=http://222.73.247.***/qj0617.exe
filename3=ffsea3.exe
ftime3=0
file4=http://123.www****.cn/tl0619.exe
filename4=ffsea4.exe
ftime4=0
file5=http://220.189.255.**/wow0617.exe
filename5=ffsea5.exe
ftime5=0
file6=http://222.73.254.**/dh3.exe
filename6=ffsea6.exe
ftime6=0
file7=http://220.189.255.**/qqsg.exe
filename7=ffsea7.exe
ftime7=0
file8=http://222.73.247.***/jh0619.exe
filename8=ffsea8.exe
ftime8=0
file9=http://222.73.254.**/zt0616.exe
filename9=ffsea9.exe
ftime9=0
file10=http://222.73.247.***/wl0618.exe
filename10=ffsea10.exe
ftime10=0
file11=http://220.189.255.**/cq0619.exe
filename11=ffsea11.exe
ftime11=0
file12=http://222.73.247.***/wd0618.exe
filename12=ffsea12.exe
ftime12=0
file13=http://222.73.254.**/huaxia.exe
filename13=ffsea13.exe
ftime13=0
file14=http://222.73.254.**/qqhx.exe
filename14=ffsea14.exe
ftime14=0
file15=http://220.189.255.**/dh0616.exe
filename15=ffsea15.exe
ftime15=0
file16=http://61.129.45.***/fh.exe
filename16=ffsea16.exe
ftime16=0
file17=http://61.129.45.***/zy.exe
filename17=ffsea17.exe
ftime17=0
file18=http://123.www****.cn/mh2.exe
filename18=ffsea18.exe
ftime18=0
file19=http://123.www****.cn/jt.exe
filename19=ffsea19.exe
ftime19=0
file20=http://220.189.255.**/cs0619.exe
filename20=ffsea20.exe
ftime20=0
count=20
[count]
count=0
mecount=0
url=http://nx.51***.cn/soft/count/count.asp
下载病毒文件植入完毕以后生成如下文件:
%Windir%\124327MM.DLL
%Windir%\124327WL.DLL
%Windir%\AVPSrv.exE
%Windir%\cmdbcs.exe
%Windir%\DbgHlp32.exe
%Windir%\Kvsc3.exE
%Windir%\LotusHlp.exe
%Windir%mppds.exe
%Windir%\msccrt.exe
%Windir%\MsIMMs32.exE
%Windir%\MsPrint32D.exe
%Windir%\NAVMon32.exE
%Windir%\NVDispDRV.EXE
%Windir%\PTSShell.exe
%Windir%\RegSrv64D.exE
%Windir%\SHAProc.exe
%Windir%\upxdnd.exe
%Windir%\WinForm.exE
%Windir%\WSockDrv32.exe
%System32%\AVPSrv.dll
%System32%\cmdbcs.dll
%System32%\DbgHlp32.dll
%System32%\k120027795711.exe
%System32%\k120027796820.exe
%System32%\Kvsc3.dll
%System32%\LotusHlp.dll
%System32%\LYLOADER.EXE
%System32%\LYMANGR.DLL
%System32%\mppds.dll
%System32%\msccrt.dll
%System32%\MSDEG32.DLL
%System32%\MsIMMs32.dll
%System32%\MsPrint32D.dll
%System32%\NAVMon32.dll
%System32%\NVDispDrv.dll
%System32%\PTSShell.dll
%System32%\REGKEY.hiv
%System32%\RegSrv64D.dll
%System32%\SHAProc.dll
%System32%\upxdnd.dll
%System32%\WinForm.dll
%System32%\WSockDrv32.dll
下载病毒文件运行后添加的启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\AVPSrv
键值: 字符串: "C:\WINDOWS\AVPSrv.exE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\cmdbcs
键值: 字符串: "C:\WINDOWS\cmdbcs.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\DbgHlp32
键值: 字符串: "C:\WINDOWS\DbgHlp32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\Kvsc3
键值: 字符串: "C:\WINDOWS\Kvsc3.exE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\LotusHlp
键值: 字符串: "C:\WINDOWS\LotusHlp.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\mppds
键值: 字符串: "C:\WINDOWS\mppds.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\msccrt
键值: 字符串: "C:\WINDOWS\msccrt.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\MsIMMs32
键值: 字符串: "C:\WINDOWS\MsIMMs32.exE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\MsPrint32D
键值: 字符串: "C:\WINDOWS\MsPrint32D.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\NAVMon32
键值: 字符串: "C:\WINDOWS\NAVMon32.exE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\NVDispDrv
键值: 字符串: "C:\WINDOWS\NVDispDRV.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\PTSShell
键值: 字符串: "C:\WINDOWS\PTSShell.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\RegSrv64D
键值: 字符串: "C:\WINDOWS\RegSrv64D.exE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\SHAProc
键值: 字符串: "C:\WINDOWS\SHAProc.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\upxdnd
键值: 字符串: "C:\WINDOWS\upxdnd.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\WinForm
键值: 字符串: "C:\WINDOWS\WinForm.exE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\WinSysM
键值: 字符串: "C:\WINDOWS\124327M.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\WinSysW
键值: 字符串: "C:\WINDOWS\124327L.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\WSockDrv32
键值: 字符串: "C:\WINDOWS\WSockDrv32.exe"
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
清除方案:
1 、使用安天防线2008可彻底清除此病毒(推荐),
请到安天网站下载:www.antiy.com 。
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
推荐使用ATool(安天安全管理工具),ATool下载地址:
www.antiy.com或http://www.antiy.com/download/index.htm 。
(1)使用Atool“进程管理”关闭病毒进程。
(2)强行删除病毒文件:
%System32%\44A98A2C.DLL
%System32%\B0A5B6E8.EXE
%DriveLetter%\auto.exe
%DriveLetter%\autorun.inf
%Windir%\124327MM.DLL
%Windir%\124327WL.DLL
%Windir%\AVPSrv.exE
%Windir%\cmdbcs.exe
%Windir%\DbgHlp32.exe
%Windir%\Kvsc3.exE
%Windir%\LotusHlp.exe
%Windir%mppds.exe
%Windir%\msccrt.exe
%Windir%\MsIMMs32.exE
%Windir%\MsPrint32D.exe
%Windir%\NAVMon32.exE
%Windir%\NVDispDRV.EXE
%Windir%\PTSShell.exe
%Windir%\RegSrv64D.exE
%Windir%\SHAProc.exe
%Windir%\upxdnd.exe
%Windir%\WinForm.exE
%Windir%\WSockDrv32.exe
%System32%\AVPSrv.dll
%System32%\cmdbcs.dll
%System32%\DbgHlp32.dll
%System32%\k120027795711.exe
%System32%\k120027796820.exe
%System32%\Kvsc3.dll
%System32%\LotusHlp.dll
%System32%\LYLOADER.EXE
%System32%\LYMANGR.DLL
%System32%\mppds.dll
%System32%\msccrt.dll
%System32%\MSDEG32.DLL
%System32%\MsIMMs32.dll
%System32%\MsPrint32D.dll
%System32%\NAVMon32.dll
%System32%\NVDispDrv.dll
%System32%\PTSShell.dll
%System32%\REGKEY.hiv
%System32%\RegSrv64D.dll
%System32%\SHAProc.dll
%System32%\upxdnd.dll
%System32%\WinForm.dll
%System32%\WSockDrv32.dll
(3)恢复病毒修改的注册表项目,删除病毒添加的注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer
\Advanced\Folder\Hidden\SHOWALL\CheckedValue]
类型: DWORD
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\AVPSrv
键值: 字符串: "C:\WINDOWS\AVPSrv.exE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\cmdbcs
键值: 字符串: "C:\WINDOWS\cmdbcs.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\DbgHlp32
键值: 字符串: "C:\WINDOWS\DbgHlp32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\Kvsc3
键值: 字符串: "C:\WINDOWS\Kvsc3.exE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\LotusHlp
键值: 字符串: "C:\WINDOWS\LotusHlp.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\mppds
键值: 字符串: "C:\WINDOWS\mppds.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\msccrt
键值: 字符串: "C:\WINDOWS\msccrt.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\MsIMMs32
键值: 字符串: "C:\WINDOWS\MsIMMs32.exE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\MsPrint32D
键值: 字符串: "C:\WINDOWS\MsPrint32D.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\NAVMon32
键值: 字符串: "C:\WINDOWS\NAVMon32.exE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\NVDispDrv
键值: 字符串: "C:\WINDOWS\NVDispDRV.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\PTSShell
键值: 字符串: "C:\WINDOWS\PTSShell.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\RegSrv64D
键值: 字符串: "C:\WINDOWS\RegSrv64D.exE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\SHAProc
键值: 字符串: "C:\WINDOWS\SHAProc.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\upxdnd
键值: 字符串: "C:\WINDOWS\upxdnd.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\WinForm
键值: 字符串: "C:\WINDOWS\WinForm.exE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\WinSysM
键值: 字符串: "C:\WINDOWS\124327M.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\WinSysW
键值: 字符串: "C:\WINDOWS\124327L.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\WSockDrv32
键值: 字符串: "C:\WINDOWS\WSockDrv32.exe"
(4) 禁用服务667E56A
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
京公网安备 11010802021500号