该病毒伪装成windows升级程序,不明真相的用户很可能会被骗点击该文件。超级巡警在捕获该样本后,对样本进行了详细的分析。该病毒运行后释放病毒副本到各个逻辑驱动器的根目录下
该病毒伪装成windows升级程序,不明真相的用户很可能会被骗点击该文件。超级巡警在捕获该样本后,对样本进行了详细的分析。该病毒运行后释放病毒副本到各个逻辑驱动器的根目录下,修改系统时间,对安全软件进行映像劫持,使安全软件失效,删除安全模式相关键值,并卸载杀毒软件的主动防御,连接网络下载病毒,严重的干扰了用户使用计算机并威胁用户计算机系统安全。超级巡警提醒广大用户,要经常使用超级巡警进行全盘扫描,以保证系统不受恶意程序困扰。
一、病毒相关分析:
病毒标签:
病毒名称:Worm.Win32.Autorun.emj
病毒类型:蠕虫
危害级别:4
感染平台:Windows
病毒大小:15,443 字节
SHA1 : 27229E074D889C5EC8C3E0CEA9F4A35F242017EE
加壳类型:NsPack
开发工具:Microsoft Visual C++
病毒行为:
1、病毒运行以后释放文件:
%HomeDrive%\autorun.inf
%HomeDrive%\MSDOS.EXE
%DriveLetter%\autorun.inf
%DriveLetter%\MSDOS.EXE
%HomeDrive%\o.exe
2、调用sfc_os.dll下的第五号函数,关闭windows文件保护,将病毒文件beep.sys复制到%system%\drivers文件夹下替换正常的beep.sys,病毒文件beep.sys的作用是屏蔽杀毒软件的主动防御。
3、调用SetLocalTime函数将系统时间修改为2004年7月22日,使衍生文件的创建时间都为2004年7月22日,衍生病毒文件不容易被用户察觉。
4、调用命令行修改文件访问的权限:
命令行:"C:\WINDOWS\system32\cacls.exe" c:\windows\system32\packet.dll /e /p everyone:f
命令行:"C:\WINDOWS\system32\cacls.exe" c:\windows\system32\pthreadVC.dll /e /p everyone:f
命令行:"C:\WINDOWS\system32\cacls.exe" c:\windows\system32\wpcap.dll /e /p everyone:f
命令行:"C:\WINDOWS\system32\cacls.exe" c:\windows\system32\drivers\npf.sys /e /p everyone:f
命令行:"C:\WINDOWS\system32\cacls.exe" c:\windows\system32\npptools.dll /e /p everyone:f
命令行:"C:\WINDOWS\system32\cacls.exe" c:\windows\system32\drivers\acpidisk.sys /e /p everyone:f
命令行:"C:\WINDOWS\system32\cacls.exe" c:\windows\system32\wanpacket.dll /e /p everyone:f
命令行:"C:\WINDOWS\system32\cacls.exe" c:\Documents and Settings\All Users\「开始」菜单\程序\启动 /e /p everyone:f
4、提升病毒进程权限,遍历进程,如发现以下进程名就结束:
360Safe.exe、360tray.exe、360rpt.EXE、Runiep.exe、RAv.exe、CCenter.EXE、
RAVMON.EXE、RAVMOND.EXE、GuardField.exe、Ravxp.exe、GFUpd.exe、
kmailmon.exe、kavstart.exe、kwatch.exe、sharedaccess、McShield、KWhatchsvc、
KPfwSvc、Symantec AntiVirus、Symantec AntiVirus Drivers Services、Symantec
AntiVirus Definition Watcher、Norton AntiVirus Server、UpdaterUI.exe、rfwsrv.exe、
rfwProxy.exe、rfwstub.exe、RavStub.exe、rfwmain.exe、rfwmain.exe、TBMon.exe、
KASARP.exe、scan32.exe、VPC32.exe、VPTRAY.exe、ANTIARP.exe、
KRegEx.exe、KvXP.kxp、kvsrvxp.kxp、kvsrvxp.exe、KVWSC.EXE、
Iparmor.exe、Avp.EXE、VsTskMgr.exe
5、添加注册表映像劫持,导致用户运行安全软件,实际运行的是病毒程序,被劫持的安全软件如下:
360rpt.EXE、360safe.EXE、360tray.EXE、Ast.EXE、AVP.EXE、AvMonitor.EXE、
CCenter.EXE、IceSword.EXE、Iparmor.EXE、KVMonxp.KXP、、KVSrvXP.EXE、
KVWSC.EXE、Navapsvc.EXE、Nod32kui.EXE、KRegEx.EXE、
Frameworkservice.EXE、Mmsk.EXE、Ast.EXE、WOPTILITIES.EXE、
Regedit.EXE、AutoRunKiller.EXE"、VPC32.EXE、VPTRAY.EXE、
ANTIARP.EXE、KASARP.EXE、RAV.EXE、kwatch.EXE、kmailmon.EXE、
kavstart.EXE、Runiep.EXE、GuardField.EXE、GFUpd.EXE、rfwmain.EXE、
RavStub.EXE、rfwstub.EXE、rfwstub.EXE、rfwProxy.EXE、rfwsrv.EXE
6、修改注册表项,隐藏文件夹
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\hidden\showall "CheckedValue"
7、添加注册表项创建服务,加载驱动beep.sys,同时创建设备"\\.\RESSDTDOS"用来做驱动程序与应用程序的交互
8、删除安全模式相关注册表键值,导致用户无法正常进入安全模式:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
9、查找窗口类名为“IEFrame”的窗口,如存在就向该该窗口所在的进程中写入恶意代码。
10、下载病毒文件到IE目录下:
http://mmm.xnibi.com/**/1.exe
http://mmm.xnibi.com/**/2.exe
http://mmm.xnibi.com/**/3.exe
http://mmm.xnibi.com/**/4.exe
http://mmm.xnibi.com/**/5.exe
http://mmm.xnibi.com/**/6.exe
http://mmm.xnibi.com/**/7.exe
http://mmm.xnibi.com/**/8.exe
http://mmm.xnibi.com/**/9.exe
http://mmm.xnibi.com/**/10.exe
二、解决方案
推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址:http://www.dswlab.com/d1.html
手工清除方法:
1、结束病毒进程。打开超级巡警ToolsLoader.exe工具(此工具在超级巡警安装目录下),选择进程管理功能,终止update.exe、o.exe进程。
2、删除病毒生成的文件。
%HomeDrive%\autorun.inf
%HomeDrive%\MSDOS.EXE
%DriveLetter%\autorun.inf
%DriveLetter%\MSDOS.EXE
%HomeDrive%\o.exe
3、删除病毒下载的文件
http://mmm.xnibi.com/**/1.exe
http://mmm.xnibi.com/**/2.exe
http://mmm.xnibi.com/**/3.exe
http://mmm.xnibi.com/**/4.exe
http://mmm.xnibi.com/**/5.exe
http://mmm.xnibi.com/**/6.exe
http://mmm.xnibi.com/**/7.exe
http://mmm.xnibi.com/**/8.exe
http://mmm.xnibi.com/**/9.exe
http://mmm.xnibi.com/**/10.exe
4、修复安全模式启动/映象劫持。打开超级巡警,点安全优化,选择系统修复,选中修复安全模式启动/映象劫持,修复即可。
京公网安备 11010802021500号