东方微点-yb体育官方

  yb体育官方  
yb体育官方-yb亚博全站首页  |  微点新闻  |  业界动态  |  安全资讯  |   |   |  网络版yb亚博全站首页
 |   |   |   |   |   |  各地代理商
 

蠕虫程序worm.win32.autorun.imd
来源:  2008-12-04 16:08:44



捕获时间

2008-12-4

病毒摘要

该样本是使用“ vc ”编写的蠕虫程序,由微点主动防御软件自动捕获,程序未加壳,文件长度为“95,556字节”,图标为“”,使用“exe”扩展名,通过“网页木马”、“文件捆绑”、“移动存储介质”等途径植入用户计算机,运行后感染文件并联网下载其他木马到本地运行。

感染对象

windows 2000/windows xp/windows 2003

传播途径

网页木马、文件捆绑、移动存储介质

防范措施

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);


       图1 主动防御自动捕获未知病毒(未升级)

如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"worm.win32.autorun.imd”,请直接选择删除(如图2)。


       图2   升级后截获已知病毒


对于未使用微点主动防御软件的用户,微点反病毒专家建议
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、建议关闭u盘自动播放,具体操作步骤:开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取yb亚博全站首页的技术支持。
4、开启windows自动更新,及时打好漏洞补丁。

病毒分析

该样本程序被执行后,创建名为“fuall”的互斥体,防止程序的再次调用,拷贝自身到%systemroot%\system32\与%systemroot%\system32\dllcache目录下,名称分别为“xpserve.exe”、“lsoss.exe”,并修改“xpserve.exe”文件属性为“隐藏”。
修改如下注册表健值实现病毒随机启动、不显示隐藏文件、禁止使用dos程序、禁止使用注册表编辑器、屏蔽[internet选项]的[安全]选项卡:

  
项:hklm\software\microsoft\windows nt\currentversion\winlogon
健值:system
指向数据:%system%\dllcache\lsoss.exe"

项:hkcu\ software\microsoft\windows\currentversion\explorer\advanced
健值:showsuperhidden
指向数据:1
项:hkcu\ software\microsoft\windows\currentversion\explorer\advanced \folder
\superhidden
健值:type
指向数据:checkbox

项:hkcu\software\microsoft\windows\currentversion\policies\explorer
健值:nocommon groups
指向数据:1
项:hkcu\software\microsoft\windows\currentversion\policies\winold-app\disabled
健值:disabled
指向数据:1
健值:norealmode
指向数据:1

项:hkcu\software\microsoft\windows\currentversion\policies\system
健值:disableregistrytools
指向数据:1

项:hkcu\software\policies\microsoft\internet explorer\control pane
健值:securitytab
指向数据:1


删除注册表相关键值破坏安全模式,阻止用户进入安全模式:

  
项:
hklm\system\controlset001\control\safeboot\minimal\{4d36e967-e325-11ce-bfc1-08002be10318}
项:
hklm\system\controlset001\control\safeboot\network\{4d36e967-e325-11ce-bfc1-08002be10318}
项:
hklm\system\currentcontrolset\control\safeboot\minimal\{4d36e967-e325-11ce-bfc1-08002be10318}
项:
hklm\system\currentcontrolset\control\safeboot\network\{4d36e967-e325-11ce-bfc1-08002be10318}


删除映象劫持、计算机管理clsid、注册表信息文件所对应的注册表健值:

  
项:
hklm\ software\microsoft\windows nt\currentversion\image file execution options
项:
hkcu\software\policies\microsoft\mmc\{58221c66-ea27-11cf-adcf-00aa00a80033}
项:
hklm\ software\classes\regfile\shell\open\command


遍历非系统盘所有盘符的 “exe”文件,重写替换文件头内容与病毒自身文件内容一致,并删除“gho”类型文件,达到破坏用户资料目的。
等待联网状态访问下列网址下载木马到%systemroot%\system32\目录下,名称为
“xpserve.execnd1.exe”,下载后自动调用运行木马。

  
http ://www.k***k.cn/up.exe


调用系统api函数“sleep”暂隔200000ms访问下列加密的网址,实现动态访问指定的广告链接:

  
http ://www.k***k.cn/a3.htm


网页脚本内容为:

  


不断遍历磁盘,拷贝自身名为“net.exe”到磁盘分区根目录,并创建“autorun.inf”文件,均修改属性为“隐藏”,“autorun.inf”内容为:

  
[autorun]
open=net.exe
shell\open=打开(&o)
shell\open\command=net.exe
shell\open\default=1
shell\explore=资源管理器(&x)
shell\explore\command=net.exe
shellexecute=net.exe
shell\auto\command=net.exe

 

免费体验
下  载

网站地图