Worm.Win32.VB.fw 分析报告

Worm.Win32.VB.fw分析


安天实验室    CERT组分析
一、病毒标签：
病毒名称： Worm.Win32.VB.fw
病毒类型：蠕虫类
文件 MD5： 34325CFF53C99D28C42A262D1B5708B7
公开范围： 完全公开
危害等级： 4
文件长度： 94,208 字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual Basic 5.0 / 6.0
加壳类型：无
   
二、病毒描述：
   
该病毒为蠕虫类，病毒运行后复制自身到系统目录，衍生病毒文件。 修改注册表，添加启动项，以达到随机启动的目的。该病毒通过移动存储介质、 恶意网站、其它病毒 /木马下载大面积传播；由于其隐藏了自身的副本文件，而且具有多种启动方式，所以对其清除具有一定的难度，因此该病毒的生存期会具有在很长的时间。该病毒会盗取用户银行帐号密码等敏感信息。

三、行为分析：
   
1、    文件运行后会衍生以下文件
（1）在系统System32目录下建立副本如下：
%System32%/systeminit.exe    94,208字节
%System32%/wininit.exe        94,208字节
%System32%/winsystem.exe    94,208字节
（2）在各个驱动器盘符下释放启动文件autorun.inf并新建对应的可执行文件：
%DriveLetter%/autorun.inf
%DriveLetter%/kerneldrive.exe   

2、 新建注册表
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
注册表值：" wininit "
类型： REG_SZ
值： " C:/WINDOWS/system32/wininit.exe "
描述：添加启动项，以达到随机启动的目的

3、修改注册表
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]
新建键值：字串：" Userinit "=" C:/WINDOWS/system32/userinit.exe,C:/WINDOWS/system32/
systeminit.exe,"
原键值：字串：" Userinit "=" C:/WINDOWS/system32/userinit.exe,"
描述：添加启动项，以达到随机启动的目的

4、修改注册表，使隐藏文件不可见：
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Hidden
新: 字符串: "1"
旧: DWORD: 1 (0x1)
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/HideFileExt
新: 字符串: "1"
旧: DWORD: 0 (0)
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/ShowSuperHidden
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/SuperHidden
新: 字符串: "1"
旧: DWORD: 0 (0)

5、新建注册表键值，使“文件夹选项…”不可见：
HKEY_USERS/.DEFAULT/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/NoFolderOptions
键值: DWORD: 1 (0x1)
HKEY_USERS/S-1-5-18/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/NoFolderOptions
键值: DWORD: 1 (0x1)
   
    6、连接网络下载大量病毒相关文件，以更新病毒文件和下载其它病毒体
   
注释：
%Windir%                      WINDODWS所在目录
%DriveLetter%                逻辑驱动器根目录
%ProgramFiles%                系统程序默认安装目录
%HomeDrive%                  当前启动系统所在分区
%Documents and Settings%    当前用户文档根目录
%Temp%                        当前用户TEMP缓存变量；路径为：
%Documents and Settings%/当前用户/Local Settings/Temp
%System32%                    是一个可变路径；
病毒通过查询操作系统来决定当前System32文件夹的位置；
Windows2000/NT中默认的安装路径是　C:/Winnt/System32；
Windows95/98/Me中默认的安装路径是　C:/Windows/System；
WindowsXP中默认的安装路径是　C:/Windows/System32。
   
   
四、 清除方案：
1、使用安天木马防线可彻底清除此病毒(推荐)，请到安天网站下载：www.antiy.com 。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程
   
(2) 强行删除病毒文件
   
%System32%/systeminit.exe   
%System32%/wininit.exe       
%System32%/winsystem.exe   
%DriveLetter%/autorun.inf
%DriveLetter%/kerneldrive.exe   
   
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
    删除新建注册表项：
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
注册表值：" wininit "
类型： REG_SZ
值： " C:/WINDOWS/system32/wininit.exe "
HKEY_USERS/.DEFAULT/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/NoFolderOptions
键值: DWORD: 1 (0x1)
HKEY_USERS/S-1-5-18/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/NoFolderOptions
键值: DWORD: 1 (0x1)

恢复修改注册表项：
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]
新建键值：字串：" Userinit "=" C:/WINDOWS/system32/userinit.exe,C:/WINDOWS/system32/
systeminit.exe,"
原键值：字串：" Userinit "=" C:/WINDOWS/system32/userinit.exe,"
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Hidden
新: 字符串: "1"
旧: DWORD: 1 (0x1)
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/HideFileExt
新: 字符串: "1"
旧: DWORD: 0 (0)
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/ShowSuperHidden
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/SuperHidden
新: 字符串: "1"
旧: DWORD: 0 (0)【转自世纪安全网 http://www.