安天防线
安天防线主页 安天防线使用指南 安天防线软件下载 安天防线在线安装 安天防线产品升级 安天防线产品购买 安天防线客户服务 安天防线安全资讯 安天防线论坛交流
首  页   使用指南   软件下载   在线安装   产品升级   产品购买   客户服务   安全资讯   论坛交流
安天防线免费下载
安天防线在线安装
安天防线产品升级
安天防线产品购买
 
Worm.Win32.AutoRun.rea分析
 
出处:安天实验室 时间:2008年10月30日
 

  • 病毒标签:

    • 病毒名称: Worm.Win32.AutoRun.rea
    病毒类型: 蠕虫
    文件 MD5: F75FF54CD0354133FBEE12259D8E6F36
    公开范围: 完全公开
    危害等级: 4
    文件长度: 14,677 字节
    感染系统: Windows98以上版本
    开发工具: NsPacK V3.4-V3.5 -> LiuXingPing *

  • 病毒描述:

    •     该病毒图标伪装成图片诱惑用户点击,病毒运行后,创建互斥量防止病毒多次运行,删除%System32%目录下得mfc71.dll文件,遍历进程查找safeboxTray.exe(360安全软件进程),找到该进程后将其进程强行结束,设置本地时间为2004年,用ShellExecuteA函数调用cacls.exe给everyone 用户组对packet.dll pthreadVC.dll wpcap.dll npf.sys npptools.dll、wanpacket.dll acpidisk.sys 的完全控制,释放病毒驱动文件beep.sys到%System32%\Drivers目录下,替换现有的驱动文件,创建驱动设置名:"\\.\RESSDTDOT"利用系统beep服务加载病毒文件,恢复SSDT躲避卡巴主动提示,遍历进程查找多款安全软件进程找到则将其进程强行结束,并停止多款安全软件服务,将%System32%目录下的wuauct.exe拷贝到%HomeDrive%下重命名:temp.temp,拷贝病毒自身到%System32%目录下与%System32%Dllcache目录下,调用iexplore.exe创建进程,调用FindWindows函数查找类名为"IEFrame" 窗口,申请内存空间,将病毒代码写入IEXPLORE.EXE连接网路执行下载,拷贝自身到%HomeDrive%下命名为:MSCL.PLF,在每个驱动器下创建AUTORUN.INF达到双击启动病毒目的,获取光标位置、获取窗口句柄、获取当前窗口标签内容,检测当前窗口标题是否存在病毒预设的标题(多款安全软件标题),如发现则向该窗体发送消息将当前窗体关闭,将病毒自身属性设置为隐藏,修改注册表、删除注册表坏安全模式、添加注册表启动项、劫持多款安全软件进程。

  • 行为分析-本地行为:

    • 1、调用函数CreateMutexA创建互斥量名为:"HENGHENG",防止病毒多次运行,删除%System32%目录下得mfc71.dll文件,遍历进程查找safeboxTray.exe(360安全软件进程),找到该进程后调用TerminateProcess函数将其进程强行结束。

    2、设置本地时间为2004年,用ShellExecuteA函数调用cacls.exe给everyone 用户组对packet.dll pthreadVC.dll wpcap.dll npf.sys npptools.dll、wanpacket.dll acpidisk.sys 的完全控制代码如下:
    "%System32%\packet.dll /e /p everyone:f
    "%System32%\pthreadVC.dll /e /p everyone:f
    "%System32%\wpcap.dll /e /p everyone:f"
    "%System32%\drivers\npf.sys /e /p everyone:f"
    "%System32%\npptools.dll /e /p everyone:f"
    "%System32%\wanpacket.dll /e /p everyone:f"
    "%System32%\drivers\acpidisk.sys /e /p everyone:f"
    ;C:\documents and settings\all users\「开始」菜单\程序\启动 /e /p everyone:f

    3、释放病毒驱动文件beep.sys到%System32%\Drivers目录下,替换现有的驱动文件,创建驱动设置名:"\\.\RESSDTDOT"利用系统beep服务加载病毒文件,恢复SSDT躲避卡巴主动提示。

    4、遍历进程查找多款安全软件进程找到则调用TerminateProcess函数将其进程强行结束,被结束的进程为以下进程:
    360safe.exe、360tray.exe、360rpt.exe、runiep.exe、rav.exe、rstray.exe、ccenter.exe、ravmon.exe、ravmond.exe、guardfield.exe、ravxp.exe、gfupd.exe、kmailmon.exe、kavstart.exe、kavpfw.exe、kwatch.exe、updaterui.exe、rfwsrv.exe、rfwproxy.exe、rfwstub.exe、ravstub.exe、rfwmain.exe、rfwmain.exe、bmon.exe、nod32kui.exe、nod32krn.exe、kasarp.exe、frameworkservice.exe、scan32.exe、vpc32.exe、vptray.exe、antiarp.exe、kregex.exe、kvxp.kxp、kvsrvxp.kxp、kvsrvxp.exe、kvwsc.exe、iparmor.exe、avp.exe、stskmgr.exe、esusafeguard.exe

    并停止以下安全软件服务
    haredaccess、mcshield、kwhatchsvc、kpfwsvc、symantec antivirus、symantec antivirus drivers
    services、symantec antivirus definition watcher、mcafee framework 服务、norton antivirus server

    5、拷贝病毒自身到%System32%目录下与%System32%Dllcache目录下,调用iexplore.exe创建进程,调用FindWindows函数查找类名为"IEFrame" 窗口,申请内存空间,调用writeprocessmemory函数将病毒代码写入IEXPLORE.EXE连接网路执行下载。

    6、拷贝自身到%HomeDrive%下命名为:MSCL.PLF,在每个驱动器下创建AUTORUN.INF达到双击启动病毒目的,调用GetCursorPos函数获取光标位置、调用WindowFromPoint获取窗口句柄、调用GetWindowTextA获取当前窗口标签内容,检测当前窗口标题是否存在病毒预设的标题(多款安全软件标题),如发现则向该窗体发送消息将当前窗体关闭,将病毒自身属性设置为隐藏,病毒检测判断当前窗口标题是否存在以下标题:
    安全卫士、专杀、NOD32、Process、进程、瑞星、木马、绿鹰、防御、微点、主动防御、防火墙、病毒、
    Mcafee、检测、Firewall、virus、anti、金山、江民、worm、SREng、清理、超级巡警、卡巴斯基、杀毒、
    检测到以上标题窗体,则发送关闭消息。

    7、衍生病毒文件到以下目录:
    %System32%\drivers\beep.sys
    %System32%\dllcache\wuauclt.exe
    %System32%\wuauclt.exe
    %System32%\crysstts.dll
    %HomeDrive%\AUTORUN.INF
    %HomeDrive%\MSCL.PIF

    8、删除、修改、添加注册表启动项
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Control\Safeboot\Minimal\
    {4d36e967-e325-11ce-bfc1-08002be10318}
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Control\Safeboot\Network/
    {4d36e967-e325-11ce-bfc1-08002be10318}
    描述:删除注册表项,破坏安全模式

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\
    SHOWALL\CheckedValue
    新: DWORD: 1 (0x1)
    旧: DWORD: 2 (0x2)
    描述:修改注册表使查看系统隐藏文件选项失效

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\被劫持的进程名\Debugger
    值: 字符串: "%System32%\dllcache\wuauclt.exe"
    描述:添加映像劫持,劫持以下安全软件进程
    360rpt.exe、360safe.exe、360tray.exe、360safe.exe、360safebox.exe、safeboxtray.exe、
    360safebox.exe、avp.exe、safeboxtray.exe、360safebox.exe、avp.comavp.exe、safeboxtray.exe、
    360safebox.exe、avmonitor.execcenter.exe、rstray.exe、icesword.exe、iparmor.exe、icesword.exe、
    kvmonxp.kxp、iparmor.exe、icesword.exekvsrvxp.exe、kvmonxp.kxp、iparmor.exe、icesword.exe、
    kvwsc.exe、navapsvc.exe、nod32kui.exe、nod32krn.exe、kregex.exe、frameworkservice.exe、
    mmsk.exe、ast.exe、mmsk.exe、woptilities.exeast.exemmsk.exe、regedit.exe、
    woptilities.exeast.exemmsk.exe、autorunkiller.exe、vpc32.exe、vptray.exe、antiarp.exevptray.exe、
    kasarp.exe、rav.exekasarp.exe、kwatch.exe、kmailmon.exe、kavstart.exe、kavpfw.exe、runiep.exe、
    guardfield.exe、gfupd.exe、rfwmain.exegfupd.exe、ravstub.exerfwmain.exegfupd.exe、rfwstub.exeravstub.exerfwmain.exegfupd.exe、rfwstub.exe、ravstub.exer、fwmain.exe、gfupd.exe、
    rfwproxy.exe、rfwsrv.exe、msconfig.exe、srengldr.exe、arswp.exe、rstray.exe、qqdoctor.exe、
    trojandetector.exe、rstray.exe、trojanwall.exe、trojdie.kxptrojanwall.exe、pfw.exe、trojdie.kxp、
    trojanwall.exe、hijackthis.exe、autorun.exe、hijackthis.exe

  • 行为分析-网络行为:

    • 协议:TCP
    端口:80
    连接以下域名下载病毒文件:
    http://88.llxsla****.com/1.exe
    http://88.llxsla****.com/2.exe
    http://88.llxsla****1.com/3.exe
    http://88.llxsla****.com/4.exe
    http://88.llxsla****.com/5.exe
    http://88.llxsla****.com/6.exe
    http://88.llxsla****.com/7.exe
    http://88.llxsla****com/8.exe
    http://88.llxsla****.com/9.exe
    http://88.llxsla****.com/10.exe

    注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
    %Windir%             WINDODWS所在目录
    %DriveLetter%          逻辑驱动器根目录
    %ProgramFiles%          系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%    当前用户文档根目录
    %Temp%             \Documents and Settings\当前用户\Local Settings\Temp
    %System32%           系统的 System32文件夹

    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是%WINDOWS%\System
    windowsXP中默认的安装路径是%system32%

  • 清除方案:

    • 1、使用安天防线可彻底清除此病毒(推荐),请点击下载
    2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
    (1)先打开Atool工具结束病毒进程(原病毒体进程名),删除以下病毒文件
    %System32%\drivers\beep.sys
    %System32%\dllcache\wuauclt.exe
    %System32%\wuauclt.exe
    %System32%\crysstts.dll
    %HomeDrive%\AUTORUN.INF
    %HomeDrive%\MSCL.PIF

    (2)恢复注册表、删除病毒添加的注册表项:
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Control\Safeboot\Minimal\
    {4d36e967-e325-11ce-bfc1-08002be10318}

    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Control\Safeboot\Network/
    {4d36e967-e325-11ce-bfc1-08002be10318}
    将以上2个键值分别保存为2个TXT文本内并将后缀名改为REG,双击导入注册表

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\
    SHOWALL\CheckedValue
    新: DWORD: 1 (0x1)
    旧: DWORD: 2 (0x2)
    使用ATOOL工具恢复注册表旧值

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options
    \被劫持的进程名\Debugger
    值: 字符串: "%System32%\dllcache\wuauclt.exe"
    使用ATOOL工具删除Image File Execution Options键下的所有键值