东方微点-yb体育官方

  yb体育官方  
yb体育官方-yb亚博全站首页  |  微点新闻  |  业界动态  |  安全资讯  |   |   |  网络版yb亚博全站首页
 |   |   |   |   |   |  各地代理商
 

网络蠕虫net-worm.win32.autorun.b

网络蠕虫

net-worm.win32.autorun.b

捕获时间

2009-9-24

危害等级



病毒症状

 该样本是使用“vc”编写的蠕虫病毒,由微点主动防御软件自动捕获,采用“upx”加壳方式,企图躲避特征码扫描,加壳后长度为“24,064 字节 ”,图标为“
”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“移动存储介质”、“网页挂马”等方式传播,病毒主要目的为实现网络病毒传播。
  用户中毒后,会出现杀毒软件无故退出、系统运行缓慢、网络速度降低、出现大量未知进程等现象。

感染对象

windows 2000/windows xp/windows 2003

传播途径

网页木马、文件捆绑、下载器下载

防范措施

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知后门程序”,请直接选择删除处理(如图1);


图1 微点主动防御软件自动捕获未知病毒(未升级)




如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"net-worm.win32.autorun.b”,请直接选择删除(如图2)。


  图2   微点主动防御软件升级后截获已知病毒




未安装微点主动防御软件的手动解决办法:

1、手动恢复以下文件:

拷贝相同版本文件到: %systemroot%\system32\qmgr.dll
拷贝相同版本文件到: %systemroot%\system32\drivers\etc\hosts
手动或用工具清除所有压缩包中的病毒
手动或用工具恢复所有网页文件。

2、手动删除以下文件:
  
%temp%\syshost.exe
%temp%\templocal.txt
%systemroot%\system32\1l1.dll
%systemroot%\system32\qmgr.dll
%systemroot%\system32\dllcache\lsasvc.dll
x:\autorun.inf (x为所有盘符)
x:\recycle.{645ff040-5081-101b-9f08-00aa002f954e}  (x为所有盘符)
x:\recycle.{645ff040-5081-101b-9f08-00aa002f954e}\ghost.exe  (x为所有盘符)

3、手动删除以下注册表值:
键: hkey_local_machine\software\microsoft\windowsnt\currentversion\image file execution options\[所有劫持]

4、手动恢复以下注册表值:

      键:hkey_local_machine\system\currentcontrolset\services\bits
      值: start
      数据: 0x00000003

   修复安全模式:

键:hkey_local_machine\system\currentcontrolset\control\safeboot\minimal
键:hkey_local_machine\system\currentcontrolset\control\safeboot\network

变量声明:

 %systemdriver%       系统所在分区,通常为“c:\”
 %systemroot%        windodws所在目录,通常为“c:\windows”
 %documents and settings%  用户文档目录,通常为“c:\documents and settings”
 %temp%           临时文件夹,通常为“c:\documents and settings\当前用户名称\local settings\temp”
 %programfiles%       系统程序默认安装目录,通常为:“c:\programfiles”

病毒分析

(1)停止名为"bits"的服务,去掉%systemroot%\system32\qmgr.dll文件保护属性,并释放动态链接
库%systemroot%\system32\qmgr.dll,替换掉正常的qmgr.dll,启动"bits"服务,通过该服务加载病毒程序。
(2)检查%systemroot%\system32\qmgr.dll是否被360tray.exe检测,如果是,则创建一个名为"360spshadow0"的设备,通过发送io控
制码的方式控制该设备从而绕过360tray.exe的检测。
(3) 创建线程,获取当前进程快照,查找进程"avp.exe"、"bdagent.exe"、"360tray.exe"是否存在,如果找到,则
将%systemroot%\system32\qmgr.dll复制为%systemroot%\system32\1l1.dll,将%systemroot%\system32\1l1.dll注入到目标进
程空间,并将杀软进程主线程终止,使其进程退出,完成之后,删除%systemroot%\system32\1l1.dll。
(4)创建线程,删除注册表相关键值,使用户无法进入安全模式,创建名为"svcmain"的服务,释放驱动%temp%\svcmain.sys并加载,
通过该驱动程序恢复ssdt,完成之后,删除%temp%\svcmain.sys,并删除服务对应的注册表键值。之后,删除大部分杀软的服务,
并作镜像劫持。
(5)创建线程,查找所有文件后缀名为htm、html、asp、aspx的网页文件,如果找到,往目标文件中插入代码,并开启一个新进程执行%programfiles%\internet
explorer\iexplore.exe,通过iexplore.exe访问嵌入的恶意网址。
(6)创建线程,新建文件%temp%\templocal.txt,访问目标网址读取内容,将读取的内容写入templocal.txt,并访问templocal.txt文
件中保存的网址,下载新病毒到本地运行。
(7)查找并修改文件%systemroot%\system32\drivers\etc\hosts。
(8)释放文件%systemroot%\system32\dllcache\lsasvc.dll,并运行。
(9)创建线程,遍历所有盘符,查找所有rar压缩包文件,如果找到,通过调用%programfiles%\winrar\rar.exe程序将其解压,将 病毒程序复制到解压出的文件夹中,然后再压缩回去,完成将病毒添加到压缩包中的功能。
(10)创建线程,扫描局域网其它主机,并通过自带的弱口令列表尝试枚举其它主机的管理密码,如果枚举成功,从指定网址下载病毒程
序到本地执行,并复制到其它主机的所有共享文件夹中运行。
(11)创建线程,遍历当前所有盘符,在每个盘符下创建文件autorun.inf,并在每个盘符下创建文件夹recycle.{645ff040-5081-101b- 9f08-00aa002f954e},并将%systemroot%\system32\dllcache\lsasvc.dll重命名为ghost.exe复制到
recycle.{645ff040-5081-101b-9f08-00aa002f954e}\ghost.exe,使用户一但双击磁盘或打开资源管理器自动运行病毒ghost.exe
(12)创建线程,不断读取%temp%\templocal.txt文件中的网址,下载新病毒。
(13)创建线程,释放病毒程序%temp%\syshost.exe,并开启新进程执行该程序。
(14) 释放批处理文件%temp%\tempdel.bat,并运行,将病毒自身重命名复制到%systemroot%\system32\dllcache\lsasvc.dll,之后删除自身和tempdel.bat。

病毒创建文件:

%temp%\svcmain.sys
%temp%\syshost.exe
%temp%\templocal.txt
%temp%\tempdel.bat
%systemroot%\system32\1l1.dll
%systemroot%\system32\qmgr.dll
%systemroot%\system32\dllcache\lsasvc.dll
x:\autorun.inf (x为各个盘符)
x:\recycle.{645ff040-5081-101b-9f08-00aa002f954e}  (x为各个盘符)
x:\recycle.{645ff040-5081-101b-9f08-00aa002f954e}\ghost.exe  (x为各个盘符)

病毒修改文件:

%systemroot%\system32\qmgr.dll
%systemroot%\system32\drivers\etc\hosts

病毒删除文件:

%temp%\svcmain.sys
%temp%\tempdel.bat

病毒创建进程:

iexplore.exe

病毒创建注册表:
 
hkey_local_machine\software\microsoft\windows nt\currentversion\image file execution options\[映像劫持]
hkey_local_machine\system\currentcontrolset\services\svcmain

病毒修改注册表:

hkey_local_machine\system\currentcontrolset\services\ bits\start

病毒删除注册表:

hkey_local_machine\system\currentcontrolset\services\svcmain
hkey_local_machine\system\currentcontrolset\control\safeboot\minimal
hkey_local_machine\system\currentcontrolset\control\safeboot\network

病毒访问网络:
   
http://mm.uu***67.cn/index/mm.htm
http://www.d***04.com/msn/mm.txt
http://www.d***567.cn/down/qqmm.exe
http://www.d***567.cn/down/qqma.exe

免费试用
下  载

网站地图