东方微点-yb体育官方

  yb体育官方  
yb体育官方-yb亚博全站首页  |  微点新闻  |  业界动态  |  安全资讯  |   |   |  网络版yb亚博全站首页
 |   |   |   |   |   |  各地代理商
 

蠕虫程序worm.win32.autorun.kcd
来源:  2009-01-15 13:33:19


捕获时间

2009-1-15

病毒摘要

该样本是使用“delphi”编写的蠕虫程序,由微点主动防御软件自动捕获,长度为“40,553 字节”,图标为“”,病毒扩展名为“exe”,主要通过“网页木马”、“文件捆绑”、“移动存储介质”等方式传播,病毒主要目的为下载其他木马到本地运行。

感染对象

windows 2000/windows xp/windows 2003

传播途径

网页木马、文件捆绑、移动存储介质

防范措施

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);


       图1 微点主动防御软件自动捕获未知病毒(未升级)



如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"worm.win32.autorun.kcd”,请直接选择删除(如图2)。


       图2 微点主动防御软件升级后截获已知病毒

 

对于未使用微点主动防御软件的用户,微点反病毒专家建议
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、建议关闭u盘自动播放,具体操作步骤:开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取yb亚博全站首页的技术支持。
4、开启windows自动更新,及时打好漏洞补丁。

病毒分析

  该样本程序被执行后,遍历以下进程:

 
  agentsvr.exe
  appsvc32.exe
  auto.exe
  autorun.exe
  autoruns.exe
  avgrssvc.exe
  avmonitor.exe
  avp.com
  avp.exe
  ccenter.exe
  ccsvchst.exe
  cross.exe
  enc98.exe
  filedsty.exe
  ftcleanershell.exe
  guangd.exe
  hijackthis.exe
  icesword.exe
  iparmo.exe
  iparmor.exe
  ispwdsvc.exe
  kabaload.exe
  kascrscn.scr
  kasmain.exe
  kastask.exe
  kav32.exe
  kavdx.exe
  kavpfw.exe
  kavsetup.exe
  kavstart.exe
  kislnchr.exe
  kmailmon.exe
  kmfilter.exe
  kpfw32.exe
  kpfw32x.exe
  kpfwsvc.exe
  kregex.exe
  krepair.com
  ksloader.exe
  kvcenter.kxp
  kvdetect.exe
  kvfwmcl.exe
  kvmonxp.kxp
  kvmonxp_1.kxp
  kvol.exe
  kvolself.exe
  kvreport.kxp
  kvsrvxp.exe
  kvstub.kxp
  kvupload.exe
  kvwsc.exe
  kvxp.kxp
  kwatch.exe
  kwatch9x.exe
  kwatchx.exe
  loaddll.exe
  magicset.exe
  mcconsol.exe
  mmqczj.exe
  mmsk.exe
  navsetup.exe
  nod32krn.exe
  nod32kui.exe
  pfw.exe
  pfwliveupdate.exe
  qhset.exe
  ras.exe
  rav.exe
  ravmon.exe
  ravmond.exe
  ravstub.exe
  ravtask.exe
  regclean.exe
  rfwcfg.exe
  rfwmain.exe
  rfwproxy.exe
  rfwsrv.exe
  rsagent.exe
  rsaupd.exe
  runiep.exe
  safelive.exe
  scan32.exe
  sdgames.exe
  shcfg32.exe
  shuiniu.exe
  smartup.exe
  sos.exe
  sreng.exe
  svch0st.exe
  symlcsvc.exe
  syssafe.exe
  systom.exe
  taskmgr.exe
  tnt.exe
  trojandetector.exe
  trojanwall.exe
  trojdie.kxp
  txomou.exe
  ua80.exe
  ufo.exe
  uihost.exe
  umxagent.exe
  umxattachment.exe
  umxcfg.exe
  umxfwhlp.exe
  umxpol.exe
  uplive.exe
  wopticlean.exe
  xp.exe
  zxsweep.exe
  qqdoctor.exe
  rstray.exe
  360rpt.exe
  360safe.exe
  360tray.exe
  adam.exe


  将遍历到的进程分类处理,例如“avp.exe”将采取调整系统日期使卡巴斯基过期的方式处理,“qqdoctor.exe”将采取利用命令行调用ntsd调试“qqdoctor.exe”,将“qqdoctor.exe”挂起的方式处理。
  修改注册表“software\microsoft\windows nt\currentversion\image file execution options\”,将遍历到的进程进行映像劫持,键值均为:debugger,数据均指向:svchost.exe。
  复制自身至系统目录“%systemroot%\system32”重命名为“jjxzwzjy******.exe”,文件名最后六位为当前日期。
  修改注册表,将“jjxzwzjy******.exe”注册为系统启动项:
  

 
  键:“hkey_local_machine\software\microsoft\windows\currentversion\policies\explorer\run”
  值:“dlmcjjcdfc”
  数据:“c:\windows\system\jjxzwzjy******.exe”


  修改注册表,修改ie设置,禁用ie默认关联检查:

 
  键:“hkey_current_user\software\microsoft\internet explorer\main\”
  值:“check_associations”
  数据:“no”


  修改注册表,修改系统设置,禁止显示隐藏文件:

 
  键:“hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall\”
  值:“checkedvalue”
  数据:“0”


  释放其动态库文件“jjxzajcj32dl.dll”至系统目录“%systemroot%\system32”,并申请内存将代码写入“iexplorer.exe”,启动一线程,发送数据至“http://www.a3***.com/mydown.asp”, “mydown.asp”返回数据将被保存至“%systemroot%”命名为“mydown.asp”, “mydown.asp”内容如下:

 
  begin
  1,090113,10241,http://www.***2223.cn/n**/shengji.exe,120,1,180,1,10000,16,0,1,1,1
  7,
  2,90113,34000,http://www.***2223.cn/n**/css.exe,10,0-24,,
  2,90113,47000,http://www.***2223.cn/n**/ccc.exe,80,0-24,,
  2,90113,148000,http://www.***2223.cn/n**/msn180.exe,10,0-24,,
  3,127.0.0.1,js.tongji.cn.yahoo.com
  3,127.0.0.1,img.tongji.cn.yahoo.com
  end


  病毒将下载上述升级文件与病毒文件并执行,病毒文件中包含了木马下载器与盗号木马。
  期间病毒将利用命令行实现自删除,命令行如下:

 
  cmd  /c del "c:\sample.exe "


  删除系统host文件,“%systemroot%\system32\drivers\etc\hosts”,并创建新的host文件,写入内容为:

 
  127.0.0.1       js.tongji.cn.yahoo.com
  127.0.0.1       img.tongji.cn.yahoo.com


  系统重启动后“jjxzwzjy******.exe”,将遍历系统磁盘与可移动磁盘,在各磁盘根目录复制自身为“auto.exe”,创建“autorun.inf”,属性均修改为“隐藏”与“系统”,“autorun.inf”内容如下:

 
  [autorun]
  shell\open=打开(&o)
  shell\open\command= auto.exe
  shell\open\default=1
  shell\explore=资源管理器(&x)
  shell\explore\command=auto.exe

 

免费体验
下  载

网站地图