Worm.Win32.AutoRun.doc（0x01xx8p.exe ，spoolsv.ext）分析

　该病毒属蠕虫类， 判断自己是否是在系统盘下的MSDOS.bat,如果是则将系统盘目
录打开,创建目录%Windir%\Tasks，将自身复制到该目录下，判断“%Windir%\Tasks”
目录下是否存在0x01xx8p.exe文件，如存在则将其删除，判断当前进程是否存在
“avp.exe”，如找到则将系统时间修改为2004年1月1日，复制自身到%HomeDrive%
\spoolsv.exe,%Windir%\Tasks\spoolsv.ext ,%Windir%\Tasks\SysFile.brk,并
删除自身文件.感染explorer.exe,先在%Windir%\tasks\释放被感染的explorer.ext
然后再保存到%Windir%\explorer.exe，将要感染的病毒代码赋值到缓存,将被感染文
件的最后一个节改名为.WYCao,注入被感染代码和自身病毒体,感染成功后替换原文件,
遍历进程判断是否存在如下进程, avp.exe, kvsrvxp.exe, kissvc.exe,如果存在的
话则强制结束.感染xml/cgi/jsp/php/aspx/asp/shtml/shtm/html/htm文件，删除磁
盘现有的所有.gho文件。感染系统目录以外的scr/com/cmd/bat/exe.文件，遍历固定
磁盘和可移动磁盘，在各个分区根目录下创建隐藏的系统属性文件autorun.inf和
MSDOS.BAT.利用autorun.inf文件特性,使用户双击盘符就会自动运行病毒，隐藏开启
IExplore.exe进程连接网络下载大量病毒文件，经分析下载的大量病毒文件多为盗号木
马，使用户的网络虚拟财产遭受损失。

行为分析：
本地行为：

1、释放病毒文件到以下目录：

　　　　%Windir%\Tasks\0x01xx8p.exe 　　　　9,032 字节
　　　　%Windir%\Tasks\spoolsv.ext
　　　　%Windir%\Tasks\SysFile.brk 　　　　 57,856 字节

2、判断自己是否是在系统盘下的MSDOS.bat,如果是的话会将系统盘目录打开,创建目
　 录%Windir%\Tasks，将自身复制到该目录下，判断“%Windir%\Tasks”目录下是
　 否存在0x01xx8p.exe文件，如存在则将其删除，判断当然进程是否存在“avp.exe”，
　 如找到则将系统时间修改为2004年1月1日。

3、感染explorer.exe,先在%Windir%\tasks\释放被感染的explorer.ext 然后再保
　 存到%Windir%\explorer.exe，将要感染的病毒代码赋值到缓存,将被感染文件的
　 最后一个节改名为.WYCao,注入被感染代码和自身病毒体,感染成功后替换原文件。

4、遍历进程判断是否存在如下进程, avp.exe, kvsrvxp.exe, kissvc.exe,如果存在
　 的话则强制结束.感染xml/cgi/jsp/php/aspx/asp/shtml/shtm/html/htm文件，
　 删除磁盘现有的所有.gho文件。感染系统目录以外的scr/com/cmd/bat/exe.文件。

5、在各个分区根目录下创建隐藏的系统属性文件autorun.inf和MSDOS.BAT.利用
　 autorun.inf文件特性,使用户双击盘符就会自动运行病毒,隐藏开启IExplore.exe
　 进程连接http://444.e***.com/config.txt 下载大量病毒文件。

网络行为:

　　　　协议：TCP
　　　　端口：80
　　　　连接服务器名：http://444.e***.com/config.txt
　　　　IP地址：59.53.88.***
　　　　描述：连接服务器读取TXT列表内容下载病毒，读取的列表内容：
　　　　Random:
　　　　6287
　　　　Down:
　　　　http://444.kuk****.com/0/0.exe*
　　　　http://444.kuk****.com/0/1.exe*
　　　　http://444.kuk****.com/0/2.exe*
　　　　http://444.kuk****.com/0/3.exe*
　　　　http://444.kuk****.com/0/4.exe*
　　　　http://444.kuk****.com/0/5.exe*
　　　　http://444.kuk****.com/0/6.exe*
　　　　http://www.kuk****.com/0/7.exe*
　　　　http://444.kuk****.com/0/8.exe*
　　　　http://444.kuk****.com/0/9.exe*
　　　　http://444.kuk****.com/0/10.exe*
　　　　http://444.kuk****.com/0/11.exe*
　　　　http://444.kuk****.com/0/12.exe*
　　　　http://444.kuk****.com/0/13.exe*

　　　　FlipWEB:
　　　　*

　　　　SendGet:
　　　　*

　　　　InfeWeb:
　　　　*

　　　　NetBiosInfe:
　　　　1*

　　　　HDInfe:
　　　　0*

　　　　InfeExe:
　　　　0*

　　　　RemovInfe:
　　　　1*

　　　　RemovableDrive:
　　　　1*

　　　　FixedDrive:
　　　　1*

　　　　ReadTime:
　　　　50*

　　　　OpenSys:
　　　　1*
　　　　　　 

清除方案：

手工清除请按照行为分析删除对应文件，恢复相关系统设置。 　
　 (1)使用ATOOL进程管理结束explorer.exe进程。复制
　 　 %system32%\dllcache目录下的explorer.exe文件替换
　 　 %Windir%目录下的explorer.exe文件。
　 (2)强行删除病毒衍生的病毒文件：
　 　 %Windir%\Tasks\0x01xx8p.exe
　 　 %Windir%\Tasks\spoolsv.ext
　 　 %Windir%\Tasks\SysFile.brk
　 　 %HomeDrive%\MSDOS.bat
　 　 %HomeDrive%\autorun.inf
　 　 %DriveLetter%\MSDOS.bat
　 　 %DriveLetter%\autorun.inf
　 (3)强行删除病毒衍生的病毒文件
　 　 （注：该病毒下载的病毒列表可能会随时变化）
　 　 %system32%\config\mscg13.exe
　 　 %system32%\drivers\2h9k6qwl.sys
　 　 %system32%\drivers\bs2pmzbdm.sys
　 　 %system32%\fo18.dll
　 　 %system32%\2.ext
　 　 %system32%\inf\mscg13.exe
　 　 %system32%\3.ext
　 　 %system32%\ThunderBHONew14.dll
　 　 %system32%\4.ext
　 　 %system32%\2ba.dll
　 　 %system32%\b79a.dll
　 　 %system32%\79e7a.exe
　 　 %WINDIR\MayaGirl\MayaGirlMain.exe
　 　 %WINDIR\033.exe
　 　 %WINDIR\f9a.bmp
　 　 %WINDIR\91ba.exe
　 　 %WINDIR\1b60a.txt ：