东方微点-yb体育官方

  yb体育官方  
yb体育官方-yb亚博全站首页  |  微点新闻  |  业界动态  |  安全资讯  |   |   |  网络版yb亚博全站首页
 |   |   |   |   |   |  各地代理商
 

蠕虫程序worm.win32.autorun.uec
来源:  2011-02-02 09:38:38

蠕虫程序

worm.win32.autorun.uec

捕获时间

2011-02-02

危害等级



病毒症状

  该样本是使用“c/c ”编写的蠕虫,由微点主动防御软件自动捕获,采用“aspack”加壳方式试图躲避特征码扫描,加壳后长度为“83,968”字节,图标为“”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“网页挂马”、“可移动存储器感染”等方式传播,病毒主要目的是盗取用户信息。
  用户中毒后,会出现系统运行缓慢,网络拥堵,重要资料丢失等现象。

感染对象

windows 2000/windows xp/windows 2003/windows vista/ windows 7

传播途径

文件捆绑、网页挂马、下载器下载

防范措施

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“后门程序”,请直接选择删除处理(如图1)


图1 微点主动防御软件自动捕获未知病毒(未升级)



如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现木马"worm.win32.autorun.uec”,请直接选择删除(如图2)。


图2   微点主动防御软件升级后截获已知病毒




未安装微点主动防御软件的手动解决办法:

1.停止名为“6to4”的服务项

2.删除一下注册表项:

hkey_local_machine\system\currentcontrolset\services\6to4\
hkey_local_machine\system\controlset001\services\6to4\

3.清空以下注册表项下的内容:

hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\

4.用正常文件替换以下文件:

%systemroot%\system32\appmgmts.dll
%systemroot%\system32\qmgr.dll
%systemroot%\system32\shsvcs.dll
%systemroot%\system32\mspmsnsv.dll
%systemroot%\system32\xmlprov.dll
%systemroot%\system32\ntmssvc.dll
%systemroot%\system32\upnphost.dll
%systemroot%\system32\mswsock.dll
%systemroot%\system32\ssdpsrv.dll
%systemroot%\system32\tapisrv.dll
%systemroot%\system32\browser.dll
%systemroot%\system32\cryptsvc.dll
%systemroot%\system32\pchsvc.dll
%systemroot%\system32\regsvc.dll
%systemroot%\system32\ schedsvc.dll

5.删除以下文件:

%systemroot%\system32\538535a0.sys(随机命名)
%systemroot%\system32\6to4.dll
x\autorun.inf(x为可移动存储器盘符)
x\recycle.{645ff040-5081-101b-9f08-00aa002f954e}\uninstall.exe(x为可移动存储器盘符)

变量声明:

  %systemdriver%       系统所在分区,通常为“c:\”
  %systemroot%        windodws所在目录,通常为“c:\windows”
  %documents and settings%  用户文档目录,通常为“c:\documents and settings”
  %temp%           临时文件夹,通常为“c:\documents and settings\当前用户名称\local settings\temp”
  %programfiles%       系统程序默认安装目录,通常为:“c:\program files”

病毒分析

(1)病毒创建通道设备“\\.\pipe\{d952f2d0-0bce-4b2b-8fff-2317f120fcc3}”
(2)查找安全软件进程“ravmond.exe”、“360tray.exe”、“mpsvc.exe”,若发现则尝试强制结束。
(3)病毒释放hosts文件,替换%systemroot%\system32\drivers\etc\hosts,防止网络被屏蔽。
(4)病毒创建信息记录文件%documents and settings%\infotmp.txt,用以记录用户系统信息以及病毒释放文件路径。
(5)病毒获取临时路径,截取当前屏幕。并将截屏图像保存为%temp%\51352130.log(随机命名)。
(6)完成后,病毒读取自身资源,生成%systemroot%\system32\01c606db.tmp和%systemroot%\system32\538535a0.sys
(7)用01c606db.tmp替换以下任意一服务文件用以开机启动,一旦替换成功则不再替换:
%systemroot%\system32\appmgmts.dll
%systemroot%\system32\qmgr.dll
%systemroot%\system32\shsvcs.dll
%systemroot%\system32\mspmsnsv.dll
%systemroot%\system32\xmlprov.dll
%systemroot%\system32\ntmssvc.dll
%systemroot%\system32\upnphost.dll
%systemroot%\system32\mswsock.dll
%systemroot%\system32\ssdpsrv.dll
%systemroot%\system32\tapisrv.dll
%systemroot%\system32\browser.dll
%systemroot%\system32\cryptsvc.dll
%systemroot%\system32\pchsvc.dll
%systemroot%\system32\regsvc.dll
%systemroot%\system32\ schedsvc.dll
(8)若不成功则将01c606db.tmp改名为6to4.dll,并为其创建服务项,对应注册表值为:
hkey_local_machine\system\currentcontrolset\services\6to4\
名称:imagepath
数值:%systemroot%\system32\svchost.exe -k netsvcs
hkey_local_machine\system\currentcontrolset\services\6to4\parameters\
名称:servicedll
数值:%systemroot%\system32\6to4.dll

hkey_local_machine\system\controlset001\services\6to4\
名称:imagepath
数值:%systemroot%\system32\svchost.exe -k netsvcs
hkey_local_machine\system\controlset001\services\6to4\parameters\
名称:servicedll
数值:%systemroot%\system32\6to4.dll
(9)对以下程序创建映像劫持:360hotfix.exe、360rp.exe、360rpt.exe、360safe.exe、360safebox.exe、360sd.exe、 360se.exe、360softmgrsvc.exe、360speedld.exe、360tray.exe、afwserv.exe、 ast.exe、avastui.exe、avcenter.exe、avfwsvc.exe、avgnt.exe、avguard.exe、 avmaiavmailc.exe、avp.exe、avshadow.exe、avwebgavwebgrd.exe、bdagent.exe、 ccenter.exe、ccsvchst.exe、dwengine.exe、egui.exe、ekrn.exe、filmsg.exe、 kavstart.exe、kissvc.exe、kmailmon.exe、kpfw32.exe、kpfwsvc.exe、 krnl360svc.exe、ksmgui.exe、ksmsvc.exe、kswebshield.exe、kvmonxp.kxp、 kvsrvxp.exe、kwatch.exe、livesrv.exe、mcagent.exe、mcmscsvc.exe、mcnasvc.exe、 mcods.exe、mcproxy.exe、mcshield.exe、mcsysmon.exe、mcvsshld.exe、mpfsrv.exe、 mpmon.exe、mpsvc.exe、mpsvc1.exe、mpsvc2.exe、msksrver.exe、qutmserv.exe、 ravmond.exe、ravtask.exe、rsagent.exe、rsnetsvr.exe、rstray.exe、 safeboxtray.exe、scanfrm.exe、sched.exe、seccenter.exe、sfctlcom.exe、 debugger、spideragent.exe、spiderml.exe、spidernt.exe、spiderui.exe、 tmbmsrv.exe、tmproxy.exe、twister.exe、ufseagnt.exe、vsserv.exe、 zhudongfangyu.exe、修复工具.exe
(10)加载%systemroot%\system32\538535a0.sys,恢复ssdt使部分安全软件失效。并且挂fsd钩子及tcp/ip钩子用以监控用户行为
(11)遍历本地盘符,并获取每个盘符对应的磁盘类型,发现可移动存储器则写入在根目录下创建文件夹recycle.{645ff040-5081-101b-9f08-00aa002f954e},并将病毒自身复制到该文件夹下并命名为uninstall.exe。完成后在磁盘根目录下创建autorun.inf文件,指向病毒。
(12)向指定地址上传%documents and settings%\infotmp.txt和%temp%\51352130.log,成功后删除这两个文件和病毒自身。
(13)病毒替换的动态库文件连接指定网址,等待黑客进一步指令。


病毒创建文件:

%documents and settings%\infotmp.txt
%temp%\51352130.log(随机命名)
%systemroot%\system32\01c606db.tmp(随机命名)
%systemroot%\system32\538535a0.sys(随机命名)
%systemroot%\system32\6to4.dll
x\autorun.inf(x为可移动存储器盘符)
x\recycle.{645ff040-5081-101b-9f08-00aa002f954e}\uninstall.exe(x为可移动存储器盘符)

病毒替换文件:

%systemroot%\system32\appmgmts.dll
%systemroot%\system32\qmgr.dll
%systemroot%\system32\shsvcs.dll
%systemroot%\system32\mspmsnsv.dll
%systemroot%\system32\xmlprov.dll
%systemroot%\system32\ntmssvc.dll
%systemroot%\system32\upnphost.dll
%systemroot%\system32\mswsock.dll
%systemroot%\system32\ssdpsrv.dll
%systemroot%\system32\tapisrv.dll
%systemroot%\system32\browser.dll
%systemroot%\system32\cryptsvc.dll
%systemroot%\system32\pchsvc.dll
%systemroot%\system32\regsvc.dll
%systemroot%\system32\ schedsvc.dll

病毒删除文件:

%documents and settings%\infotmp.txt
%temp%\51352130.log(随机命名)
%systemroot%\system32\01c606db.tmp(随机命名)

病毒创建注册表:

hkey_local_machine\system\currentcontrolset\services\6to4\
名称:imagepath
数值:%systemroot%\system32\svchost.exe -k netsvcs
hkey_local_machine\system\currentcontrolset\services\6to4\parameters\
名称:servicedll
数值:%systemroot%\system32\6to4.dll

hkey_local_machine\system\controlset001\services\6to4\
名称:imagepath
数值:%systemroot%\system32\svchost.exe -k netsvcs
hkey_local_machine\system\controlset001\services\6to4\parameters\
名称:servicedll
数值:%systemroot%\system32\6to4.dll

hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\[映像劫持文件名]

病毒连接网络:

174.139.***.105:1246

免费体验
下  载

网站地图