捕获时间
2009-1-12
病毒摘要
该样本是使用“delphi”编写的蠕虫程序,由微点主动防御软件自动捕获,采用“nspack”加壳与其它加壳的双重加壳方式试图躲避特征码扫描,加壳后长度为 “76,295字节”,图标为“”,使用“exe”扩展名,通过“网页木马”、“文件捆绑”、“移动存储介质”、“局域网”等途径植入用户计算机,运行后下载其他木马到本地运行。
感染对象
windows 2000/windows xp/windows 2003
传播途径
网页木马、文件捆绑、移动存储介质
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"worm.win32.autorun.jzn”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、建议关闭u盘自动播放,具体操作步骤:开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取yb亚博全站首页的技术支持。
4、开启windows自动更新,及时打好漏洞补丁。
病毒分析
该样本程序被执行后,尝试删除目录%systemroot%\system32\drivers\下“txplatform.exe”文件,拷贝自身为“txplatform.exe”文件,并调用运行“txplatform.exe”开启一个新的进程,后结束自身进程。
“txplatform.exe”进程启动后,释放名为“qq.sys”的文件到目录%systemdrive%\下,并创建下列“ressdt”服务:
|
项:
hklm\system\currentcontrolset\services\ressdt
键值:displayname
指向数据:ressdt
健值:imagepath
指向数据:%systemdrive %\qq.sys |
|
服务创建成功后调用此服务,驱动加载后恢复系统ssdt表,解除计算机部分杀软的主动防御,达到自身保护的目的,成功后关闭此服务,并将此服务与“qq.sys”文件进行删除,实现对恢复系统ssdt表模块的隐藏。
遍历查找下列指定进程,找到后尝试关闭该进程:
尝试打开下列服务,一旦成功打开便尝试对该服务进行下列的停止或删除操作:
|
“schedule” 停止服务
“sharedaccess” 停止服务
“kavsvc” 停止服务
“kavsvc” 删除服务
“avp” 停止服务
“avp” 删除服务
“mcafeeframework” 停止服务
“mcafeeframework” 删除服务
“mcshield” 停止服务
“mctaskmanager” 停止服务
“mctaskmanager” 删除服务
“mcshield” 删除服务
“navapsvc” 删除服务
“wscsvc” 删除服务
“kpfwsvc” 删除服务
“sndsrvc” 删除服务
“ccproxy” 删除服务
“ccevtmgr” 删除服务
“ccsetmgr” 删除服务
“spbbcsvc” 删除服务
“symantec core lc” 删除服务
“npfmntor” 删除服务
“mskservice” 删除服务
“firesvc” 删除服务
“rsccenter” 停止服务
“rsccenter” 删除服务
“rsravmon” 停止服务
“rsravmon” 删除服务 |
|
遍历查找包含下列文字的窗口,一旦找到便终止该进程:
|
winsock expert
comnview
smartsniff
sniff
capturenet
spinet
dsniff
嗅探
抓包 |
|
修改注册表去除隐藏文件和文件夹属性,实现自身隐藏目的:
|
项:
hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall
键值:checkedvalue
数据:0 |
|
删除系统启动项hklm\software\microsoft\windows\currentversion\run下指定安全软件的启动项键值,实现指定安全软件不能随机启动:
|
键值:
kav
kavpersonal50
avp
mcafeeupdaterui
network associates error reporting service
shstatexe |
|
添加注册表启动项,达到开机自启动目的:
|
项:
hkcu\software\microsoft\windows\currentversion\run
键值:explorer
数据:%systemroot%\system32\drivers\txplatform.exe |
|
遍历感染除下列指定的文件夹外的所有“.exe”文件为非pe文件,并尝试调用“winrar.exe”的相关指令感染压缩包内的文件,实现破坏用户文件资料与自身的自我保护,并在感染过的文件夹下,创建一个记录感染日期的名为“ desktop_1.ini”的文件,并修改属性为“只读”、“隐藏”与“系统”。
|
windows
winrar
winnt
system32
documents and settings
system volume information
recycled
windows nt
windowsupdate
windows media player
outlook express
internet explorer
netmeeting
common files
complus applications
common files
messenger
installshield installation information
msn
microsoft frontpage
movie maker
msn gamin zone |
|
并遍历查找“.htm”, “.html”, “.asp”, “.aspx”, “.jsp”, “.php”类型文件,找到后定位到文件末尾,添加下列代码,实现对网页类型文件的挂马:
删除自身的除ipc$外的所有默认共享,枚举局域网共享,找到后尝试使用指定的大量弱口令密码与下列指定的用户名进行逐个尝试访问,成功后在局域网中传播此病毒:
|
“administrator”
“guest”
“admin"
“root”
“apartment”
“free”
“both”
“neutral” |
|
等待访问下列网址木马列表进行下载其它木马并在下载后自动运行:
|
http://www.52**s.com/goto/down.txt |
|
并访问下列网址进行自身统计:
|
http://www.52**s.com/tj.htm |
|
不断遍历磁盘,尝试调用目录%temp%\下创建的随机名称批处理,删除免疫文件夹,批处理内容如下:
|
rmdir /s /q 盘符:\autorun.inf
del %0 |
|
拷贝自身名为“ .exe”到磁盘分区根目录,并创建“autorun.inf”文件,均修改属性为“只读”、“隐藏”与“系统”,“autorun.inf”内容为:
|
[autorun]
open= .exe
shell\open=打开(&o)
shell\open\command= .exe
shell\open\default=1
shell\explore=资源管理器(&x)
shell\explore\command= .exe |
|
|