捕获时间
2009-4-15
病毒症状
该样本是使用“delphi编写的网络蠕虫,由微点主动防御软件自动捕获,采用“upack”加壳方式,企图躲避特征码扫描,加壳后长度为“51,688 字节”,图标为“
”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“移动存储介质”等方式传播,病毒主要目的为下载大量木马并运行。
用户中毒后,会出现安全软件无故关闭,网络运行缓慢,安全模式无法进入,windows系统无故报错等现象。
感染对象
windows 2000/windows xp/windows 2003
传播途径
网页木马、文件捆绑、下载器下载
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知间谍软件”,请直接选择删除处理(如图1);
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"worm.win32.autorun.lqx”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取yb亚博全站首页的技术支持。
3、开启windows自动更新,及时打好漏洞补丁。
未安装微点主动防御软件的手动解决办法:
1、手动删除以下文件:
%programfiles%\common files\safesys.exe
%temp%\safesys(1).exe
%temp%\safesys.txt
%programfiles%\jnbim.bak
x:\safesys.exe
x:\autorun.inf (x:为任意盘符)
2、手动删除以下注册表值:
键:hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\
键:hkey_local_machine\ software\microsoft\windows\currentversion\run\safesys
键:hkey_local_machine\system\currentcontrolset\services\safesysdrv
键:hkey_current_user\software\microsoft\windows\currentversion\policies\system\disabletaskmgr
键:hkey_current_user\software\microsoft\windows\currentversion\policies\system\disablewindowsupdateaccess 3、手动修改以下注册表:
键:hkey_local_machine\software\360safe\safemon
值:monaccess
数据:1
键:hkey_local_machine\software\360safe\safemon
值:siteaccess
数据:1
键:hkey_local_machine\software\360safe\safemon
值:execaccess
数据:1
键:hkey_local_machine\software\360safe\safemon
值:arpaccess
数据:1
键:hkey_local_machine\software\360safe\safemon
值:weeken
数据:1
键:hkey_local_machine\software\360safe\safemon
值:ieprotaccess
数据:1
键:hkey_local_machine\software\360safe\safemon
值:leakshowed
数据:1
键:hkey_local_machine\software\360safe\safemon
值:udiskaccess
数据:1
键:hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall
值:showall
数据:1
4.用相同版本替换%systemroot%\system32\spoolsv.exe和%systemroot%\system32\dllcache\spoolsv.exe
变量声明:
%systemdriver% 系统所在分区,通常为“c:\”
%systemroot% windodws所在目录,通常为“c:\windows”
%documents and settings% 用户文档目录,通常为“c:\documents and settings”
%temp% 临时文件夹,通常为“c:\documents and settings\当前用户名称\local settings\temp”
%programfiles% 系统程序默认安装目录,通常为:“c:\programfiles”
病毒分析
(1)判断参数是不是-clear ,判断当前路径是不是%programfiles%\common files\safesys.exe,如果不是,执行%programfiles%\common files\safesys.exe –clear,然后创建互斥"vip1.0,kuaigeiwoxiaoshi!"结束进程
(2)检测自身路径是不是在根目录,然后创建%systemdriver%\autorun.inf,如果创建成功,打开c盘,发送消息,关闭窗口,如果窗口关闭失败,查找杀毒软件等弹出窗口,并关闭
(3)检查自身是不是%programfiles%\internet explorer\iexplore.exe,如果是,打开指定网址,然后判断该网址对应文件,是否是pe文件,如果是pe文件,保存为%temp%\safesys(1).exe,然后运行文件,不是pe文件,保存为%temp%\safesys.txt,读取下载列表进行下载
(4)判断自身是不是%systemroot%\system32\svchost.exe,删除安全模式,结束杀软进程,设置360相关注册表,修改启动项目,删除修改注册表时,用到的文件,打开 "vip1.0,kuaigeiwoxiaoshi!"如果打开成功,创建%temp%\~hkfbl.bat删除%programfiles%\common files\safesys.exe等一系列卸载操作
(5)判断自身路径是不是 %programfiles%\common files\safesys.exe,结束进程,创建映像劫持,遍历盘符写autorun.inf
(6)判断自身是不是%systemroot%\system32\spoolsv.exe,启动保护服务
(7)判断参数是不是“-safesys”,不是创建“sample.exe –safesys”进程,并创建互斥"-safesys"
(8)创建%programfiles%\jnbim.bak,然后加载,释放驱动文件%systemroot%\fonts\aruql.fon,创建服务aruql,启动驱动,然后删除,驱动主要功能是起保护病毒文件功能。
(9)查找窗口,关闭常见安全软件,调试工具等,修改注册表,关闭进程,遍历磁盘写autorun.inf
(10)停止spooler服务,去掉%systemroot%\system32\spoolsv.exe的文件保护,释放驱动temp\~cifsw.tmp,创建"safesysdrv"服务启动temp\~cifsw.tmp",修改%systemroot%\system32\spoolsv.exe
(11)查找内网共享等,进行内网传播,发送统计信息到指定网站
(12)复制自身到%programfiles%\common files\safesys.exe,并以safesys参数运行,病毒检查是否以"-service"参数运行,然后以"-service"参数运行,
(13)复制%systemroot%\system32\spoolsv.exe到%systemroot%\system32\dllcache\spoolsv.exe,检查spooler服务关联文件,启动spooler服务,启动两个svchost进程,并把病毒代码写入,检查注册表启动项目和病毒是否存在,然后退出
(14)生成删除自身%temp%\~brlhb.bat删除自身,
病毒创建文件:
%programfiles%\common files\safesys.exe
%temp%\safesys(1).exe
%temp%\safesys.txt
%programfiles%\jnbim.bak
%systemroot%\fonts\aruql.fon
%temp%\~hkfbl.bat
%temp%\~brlhb.bat
x:\safesys.exe
x:\autorun.inf (x:为任意盘符)
病毒修改文件:
%systemroot%\system32\spoolsv.exe
%systemroot%\system32\dllcache\spoolsv.exe
病毒删除文件:
%temp%\~hkfbl.bat
%temp%\~brlhb.bat
%systemroot%\fonts\aruql.fon
x:\safesys.exe
x:\autorun.inf (x:为任意盘符)
病毒创建注册表:
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\
hkey_local_machine\ software\microsoft\windows\currentversion\run\safesys
hkey_local_machine\system\currentcontrolset\services\safesysdrv
hkey_local_machine\system\currentcontrolset\services\aruql
hkey_current_user\software\alppvw
hkey_current_user\software\microsoft\windows\currentversion\policies\system\disabletaskmgr
hkey_current_user\software\microsoft\windows\currentversion\policies\system\disablewindowsupdateaccess
病毒修改注册表:
hkey_local_machine\software\360safe\safemon\monaccess
hkey_local_machine\software\360safe\safemon\siteaccess
hkey_local_machine\software\360safe\safemon\execaccess
hkey_local_machine\software\360safe\safemon\arpaccess
hkey_local_machine\software\360safe\safemon\weeken
hkey_local_machine\software\360safe\safemon\ieprotaccess
hkey_local_machine\software\360safe\safemon\leakshowed hkey_local_machine\software\360safe\safemon\udiskaccesshkey_local_machine\system\currentcontrolset\services\spooler\imagepath hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall
病毒删除注册表:
hkey_local_machine\system\controlset001\control\safeboot\minimal\{4d36e967-e325-11ce-bfc1-08002be10318} hkey_local_machine\system\controlset001\control\safeboot\network\{4d36e967-e325-11ce-bfc1-08002be10318}
hkey_current_user\software\alppvw
hkey_local_machine\system\currentcontrolset\services\aruql
病毒创建进程:
svchost.exe(两个)
病毒访问网络:
http://count.key5188.com/count/get.asp
http://c.8yeye.com/count.txt