科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Worm.Win32.AutoRun.epl(wuauclt.exe,mm.exe)分析

Worm.Win32.AutoRun.epl(wuauclt.exe,mm.exe)分析

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

超级巡警团队提醒广大用户,恶意程序Worm.Win32.AutoRun.epl会伪装为windows系统的自动升级程序,并映像劫持大量安全工具,下载其他恶意程序,盗取用户敏感信息。建议用户升级到最新病毒库,进行有效查杀。

来源:论坛整理 2008年10月29日

关键字: 安全防范 病毒资料 病毒查杀

  • 评论
  • 分享微博
  • 分享邮件
超级巡警团队提醒广大用户,恶意程序Worm.Win32.AutoRun.epl会伪装为windows系统的自动升级程序,并映像劫持大量安全工具,下载其他恶意程序,盗取用户敏感信息。建议用户升级到最新病毒库,进行有效查杀。

一、病毒相关分析:

     病毒标签:
         病毒名称:Worm.Win32.AutoRun.epl
         病毒类型:蠕虫
         危害级别:3
         感染平台:Windows
         病毒大小:14,389(字节)
         S H A 1  :4d755f9ff6992f7aae809a44ce0ab0a00d9396d2
         加壳类型:NSPack 4.1
         开发工具: Microsoft Visual C++

     病毒行为:

       1、程序运行后,复制自身为以下三个文件:
                   %System%\wuauclt.exe
                   %System%\dllcache\wuauclt.exe
                   %DriveLetter%\SVS.pif
            生成文件:
                   %DriveLetter%\AUTORUN.INF
                   %DriveLetter%\l.tmp            //此文件用来恢复SSDT

       2、映像劫持以下文件:
引用:
VsTskMgr.exe、Avp.EXE、Iparmor.exe、KVWSC.EXE、kvsrvxp.exe、KRegEx.exe、AntiArp.exe、VPTRAY.exe、VPC32.exe、scan32.exe、FrameworkService.exe、KASARP.exe、nod32krn.exe、nod32kui.exe、TBMon.exe、rfwmain.exe、RavStub.exerfwstub.exe、rfwProxy.exe、rfwsrv.exe、UpdaterUI.exe、kwatch.exe、KAVPFW.EXE、kavstart.exe、kmailmon.exe、GFUpd.exe、Ravxp.exe、GuardField.exe、RAVMOND.EXE、RAVMON.EXE、CCenter.EXE、RAv.exe、Runiep.exe、360rpt.EXE、360tray.exe、360Safe.exe、SREngLdr.EXE、msconfig.EXE、rfwsrv.EXE、rfwProxy.EXE、rfwstub.EXE、RavStub.EXE、rfwmain.EXE、GFUpd.EXE、GuardField.EXE、Runiep.EXE、kavstart.EXE、kmailmon.EXE、kwatch.EXE、RAV.EXE、KASARP.EXE、ANTIARP.EXE、VPTRAY.EXE、VPC32.EXE、AutoRunKiller.EXE、Regedit.EXE、WOPTILITIES.EXE、Ast.EXE、Mmsk.EXE、Frameworkservice.EXE、KRegEx.EXE、nod32krn.EXE、Nod32kui.EXE、Navapsvc.EXE、KVSrvXP.EXE、Iparmor.EXE、IceSword.EXE、AvMonitor.EXE、AVP.EXE、safeboxTray.EXE、360safebox.EXE、360tray.EXE、360safe.EXE
空格3、修改系统隐藏属性,使显示隐藏文件失效。修改访问目录Documents and Settings\All Users的权限为everyone,以便下载其他文件到这个目录并运行。
       4、下载并运行以下文件:
引用:
http://m.*****.com/dd/10.exe
http://m.*****.com/dd/9.exe
http://m.*****.com/dd/8.exe
http://m.*****.com/dd/7.exe
http://m.*****.com/dd/6.exe
http://m.*****.com/dd/5.exe
http://m.*****.com/dd/4.exe
http://m.*****.com/dd/3.exe
http://m.*****.com/dd/2.exe
http://m.*****.com/dd/1.exe
http://m.*****.com/dd/x.gif
二、解决方案

       推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
              超级巡警下载地址:http://www.sucop.com/download/16.html

       手工清除方法:
         1、结束病毒进程mm.exe。打开超级巡警,选择进程管理功能,终止mm.exe进程。         
         2、删除以上提到的生成文件。
         3、打开超级巡警,选择“工具”、“系统修复”,修复隐藏属性。
         4、使用超级巡警修复映像劫持。

三、安全建议

       1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
       2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
       3、使用超级巡警的补丁检查功能,及时安装系统补丁。
       4、不要随意共享文件或文件夹,共享前应先设置好权限,另外建议共享文件不要设  置为可写或可控制。
       5、禁用或删除不必要的的帐号,对管理员帐号设置一个强壮的密码。
       6、禁用不必要的服务。
       7、及时更新常用软件,尤其是聊天工具。
       8、不要使用IE内核的浏览器。
       9、不要随便打开不明来历的电子邮件,尤其是邮件附件。
       10、不要随意下载不安全网站的文件并运行。
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章