捕获时间
2009-1-25
病毒摘要
该样本是使用“易语言”编写的蠕虫程序,由微点主动防御软件自动捕获,长度为“1,414,753 字节”,图标为“
”,对于设置了不显示隐藏文件且隐藏已知扩展名的用户,有极大的欺骗性,病毒扩展名为“exe”,主要通过“文件捆绑”、“欺骗用户点击”、“下载器下载”、“可移动存储介质”等方式传播,病毒主要目的为不断感染其他电脑及可移动介质刷取访问流量。
感染对象
windows 2000/windows xp/windows 2003
传播途径
文件捆绑、欺骗用户点击、下载器下载、可移动存储介质
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"worm.win32.autorun.kkr”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、建议关闭u盘自动播放,具体操作步骤:开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取yb亚博全站首页的技术支持。
4、开启windows自动更新,及时打好漏洞补丁。
病毒分析
该样本程序被执行后,弹出对话框提示用户该样本为“无效目录”,企图迷惑用户:
在系统文件夹“%systemroot%\system32”内建立以下文件夹:
|
372109
499e86
2b4fa4
a9c3ff
372109 |
|
复制自身至“%systemroot%\system32\372109”,重命名为“c00285.exe”,释放易语言动态库文件:
|
cnvpe.fne
dp1.fne
eapi.fne
htmlview.fne
internet.fne
krnln.fnr
shell.fne
spec.fne
regex.fnr |
|
在用户“开始”菜单,“所有程序”中的“启动”文件夹内建立快捷方式,指向:“%systemroot%\system32\372109\c00285.exe”,实现开机启动。
“c00285.exe”将尝试访问“www.baidu.com”测试联网状态,联网成功后尝试访问网络地址:
|
http://x**.cn/u5.htm
http:// n-**.cn/c.htm
http:// w-**.cn/o.htm
http:// w-**.cn/o5.htm |
|
“c00285.exe”将不断遍历用户磁盘类型,当用户主机连接到新的“可移动存储介质”时,将复制自身至可移动存储介质根目录,并重命名为“recycle.exe”,建立“autorun.inf”,“autorun.inf”内容如下:
|
[autorun]
open=recycle.exe
shell\1=打开(&o)
shell\1\command=recycle.exe
shell\2\=浏览(&b)
shell\2\command=recycle.exe
shellexecute=recycle.exe |
|
遍历目录内文件夹,将全部文件夹设置为系统、隐藏、只读,并复制自身为文件夹总个数,名称与各文件夹同名。企图欺骗用户点击,通过可移动介质感染其他主机,达到传播目的。