- 听众
- 收听
- 积分
- 2999
- 主题
- 回帖
- 0
- 精华
注册时间2006-7-29
最后登录1970-1-1
该用户从未签到
|
作者:安天CERT
病毒标签:
病毒名称: Virus.Win32.AutoRun.mv
病毒类型: AV终结者变种
文件 MD5: C9EE595678AFFD24B1A4DF2142C36C2E
公开范围: 完全公开
危害等级: 4
文件长度: 26,576 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: NsPacK V3.7
病毒描述:
该病毒为AV终结者变种,病毒运行后复制自身到系统目录,衍生病毒文件,
并删除自身。该病毒添加多处启动项,以达到启动的目的。与以前AV终结者不同
的功能是加入了进程互锁性保护功能;添加了进程对文件及文件夹,注册表等的
实时监控保护;增加了比较智能化的关闭功能,可以通过匹配关键字来进行文件
关闭等。
行为分析:
本地行为:
1、文件运行后会有如下文件行为:
(1)在系统目录下衍生以下文件,并删除自身:
%Program Files%\Common Files
\Microsoft Shared\gbruusu.exe 26,576 字节
%Program Files%\Common Files
\Microsoft Shared\nakmtji.inf 169 字节
%Program Files%\Common Files\System
\hcrpyhp.exe 26,576 字节
%Program Files%\Common Files\System\nakmtji.inf 169 字节
%Program Files%\meex.exe 26,576 字节
(2)将系统文件verclsid.exe建立副本并更名为 verclsids.exe,然后将
verclsid.exe原文件删除,以使在WindowsShell或Windows资源管理
器实例化任何外壳扩展之前无法对这些扩展进行验证。
新建文件副本:
%System32%\verclsids.exe 大小: 28,672
删除源文件:
%System32%\verclsid.exe 大小: 28,672
(3)在各个驱动器盘符根目录下(除系统盘符外)创建自启动文件autorun.inf,
当打开盘符时,使会执行该启动文件对应的可执行文件运行。
启动文件及其对应执行文件如下:
%DriveLetter%\autorun.inf 169字节
%DriveLetter%\apnxmvn.exe 26576字节
Autorun.inf内容如下:
[AutoRun]
open=apnxmvn.exe
shell\open=打开(&O)
shell\open\Command=apnxmvn.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=apnxmvn.exe
2. 病毒的进程一旦运行,通过检查互斥体gbruusu.exe与hcrpyhp.exe,互相启
动进程,形成进程互锁性保护,普通方法很难将其终止。简单的结束进程会无
效的,如果使用Windows任务管理器进行结束一个进程,则Windows任务管理器
将被迫关闭。互锁进程还会监视病毒体所在的文件夹%Program Files%
\Common Files\Microsoft Shared与%Program Files%\Common Files\System,
如果被找开则立即强行关闭。
3、nakmtji.inf的作用是autorun.inf备份文件,内容与autorun.inf文件内容相同。
互锁进程gbruusu.exe与hcrpyhp.exe还会监视各个驱动器盘符下的病毒文件是否
存在,如被删除,则利用备份nakmtji.inf创建autorun.inf,并同时利用病毒副
本文件建立autorun.inf对应的可执行文件。
4、互锁进程gbruusu.exe与hcrpyhp.exe还会监视病毒添加的注册表项,当注册表项
被修改时,会立即改回病毒添加时的状态,使对病毒的清除带来了很大的困难。
5、 新建注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run]
注册表值:"apnxmvn"
类型: REG_SZ
值: "C:\Program Files\Common Files
\Microsoft Shared\gbruusu.exe"
描述:添加启动项,以达到随机启动的目的
6、 新建注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run]
注册表值:"nakmtji"
类型: REG_SZ
值: "C:\Program Files\Common Files
\System\hcrpyhp.exe"
描述:添加启动项,以达到随机启动的目的
7、删除注册表安全模式相关项,以达到启动安全模式时无法进入系统:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Control\SafeBoot\Minimal
\{4D36E967-E325-11CE-BFC1-08002BE10318}\@
键值: 字符串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Control\SafeBoot\Network
\{4D36E967-E325-11CE-BFC1-08002BE10318}\@
键值: 字符串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SafeBoot\Minimal
\{4D36E967-E325-11CE-BFC1-08002BE10318}\@
键值: 字符串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SafeBoot\Network
\{4D36E967-E325-11CE-BFC1-08002BE10318}\@
键值: 字符串: "DiskDrive"
8、修改注册表:
[HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\Explorer
\Advanced\ShowSuperHidden]
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
描述:使所有隐藏文件及文件夹不可见
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer
\Advanced\Folder\SuperHidden\Type]
新: 字符串: "checkbox2"
旧: 字符串: "checkbox"
描述:隐藏受保护的操作系统文件,而且在
“文件夹选项中…”此项也被隐藏
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\helpsvc\Start]
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
描述:禁用帮助与支持中心服务
[HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Services\helpsvc\Start]
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
描述:禁用帮助与支持中心服务
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\SharedAccess\Start]
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
描述:禁用网络地址转换、寻址、名称解析和/或入侵保护服务
[HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Services\SharedAccess\Start]
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
描述:禁用网络地址转换、寻址、名称解析和/或入侵保护服务
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\wscsvc\Start]
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
描述:禁用监视系统安全设置和配制服务
[HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Services\wscsvc\Start]
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
描述:禁用监视系统安全设置和配制服务
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\wuauserv\Start]
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
描述:禁用Windows自动升级服务
[HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Services\wuauserv\Start]
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
描述:禁用Windows自动升级服务
9、在注册表中添加众多映像劫持项,以使杀毒软件及安全工具启动时无法启动并
执行病毒文件。
映像劫持项路径:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows NT\CurrentVersion
\Image File Execution Options\]
劫持到:%Program Files%\Common Files
\Microsoft Shared\gbruusu.exe
下面列出被劫持项列表清单:
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
ArSwp.exe
AST.exe
autoruns.exe
AvastU3.exe
avconsol.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
EGHOST.exe
FileDsty.exe
FTCleanerShell.exe
FYFireWall.exe
ghost.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
irsetup.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPF.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPfwSvc.exe
KRegEx.exe
KRepair.com
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
Navapsvc.exe
Navapw32.exe
nod32.exe
nod32krn.exe
nod32kui.exe
NPFMntor.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
QQDoctor.exe
QQKav.exe
QQLiveUpdate.exe
QQSC.exe
QQUpdateCenter.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
rfwcfg.exe
rfwmain.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
rstrui.exe
runiep.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.EXE
symlcsvc.exe
SysSafe.exe
Timwp.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
upiea.exe
UpLive.exe
USBCleaner.exe
vsstat.exe
webscanx.exe
WoptiClean.exe
zjb.exe
10、在打开文件的标题栏或内容中有如下字样,则对该文件进行关闭专杀:
"AV终结者/8749"木马专杀
Windows 清理助手
IceSword
编辑字符串
编辑 DWORD 值
Common Files\System
Common Files\Microsoft Shared
11、对于除系统盘符外的各个驱动器盘符根目录下的已存在的autorun.inf文件
或文件夹,该病毒会首先尝试删除已存在的文件,然后将写入病毒autorun.inf
文件及其可执行文件;如对已存在的文件删除失败,则对该文件或文件夹进行重
命名为“随机6位字母组合”,然后进行病毒写入文件操作。这样使常规
autorun.inf免疫不再起到防护作用。
12、该病毒可通过恶意网站、其它病毒/木马下载方式或移动存储似介质传播。
网络行为:
1、ghruusu.exe进程连接网络下载病毒文件:
连接网络:
clubs.ho****.oaooao.com(125.91.104.***:80)
下载病毒文件并自动运行:
card08.jpg
kmplayer10.exe
kmp0.exe
rete.txt
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
清除方案:
1 、使用安天防线2008可彻底清除此病毒(推荐),
请到安天网站下载:www.antiy.com 。
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
推荐使用ATool(安天安全管理工具),ATool下载地址:
www.antiy.com或http://www.antiy.com/download/index.htm 。
(1)使用安天木马防线或ATool中的“进程管理”关闭病毒进程:
通过ATool中的“进程管理”同时关闭病毒进程gbruusu.exe
与hcrpyhp.exe。
(2)强行删除病毒文件:
%Program Files%\Common Files
\Microsoft Shared\gbruusu.exe
%Program Files%\Common Files
\Microsoft Shared\nakmtji.inf
%Program Files%\Common Files
\System\hcrpyhp.exe
%Program Files%\Common Files\System
\nakmtji.inf
%Program Files%\meex.exe
%DriveLetter%\autorun.inf
%DriveLetter%\apnxmvn.exe
card08.jpg
kmplayer10.exe
kmp0.exe
rete.txt
(3)删除病毒添加的注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run]
注册表值:"apnxmvn"
类型: REG_SZ
值: "C:\Program Files\Common Files
\Microsoft Shared\gbruusu.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run]
注册表值:"nakmtji"
类型: REG_SZ
值: "C:\Program Files
\Common Files\System\hcrpyhp.exe"
(4)恢复病毒修改的注册表项目:
[HKEY_CURRENT_USER\Software
\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\
ShowSuperHidden]
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
[HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\
Folder\SuperHidden\Type]
新: 字符串: "checkbox2"
旧: 字符串: "checkbox"
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\helpsvc\Start]
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
[HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Services
\helpsvc\Start]
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services
\SharedAccess\Start]
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
[HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Services
\SharedAccess\Start]
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services
\wscsvc\Start]
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
[HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Services
\wscsvc\Start]
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services
\wuauserv\Start]
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
[HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Services
\wuauserv\Start]
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
(5) 重新还原病毒删除的注册表项目:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Control\SafeBoot\Minimal
\{4D36E967-E325-11CE-BFC1-08002BE10318}\@
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Control\SafeBoot\Minimal
\{4D36E967-E325-11CE-BFC1-08002BE10318}\@
键值: 字符串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Control\SafeBoot\Network
\{4D36E967-E325-11CE-BFC1-08002BE10318}\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Control\SafeBoot\Network
\{4D36E967-E325-11CE-BFC1-08002BE10318}\@
键值: 字符串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SafeBoot\Minimal
\{4D36E967-E325-11CE-BFC1-08002BE10318}\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SafeBoot\Minimal
\{4D36E967-E325-11CE-BFC1-08002BE10318}\@
键值: 字符串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SafeBoot\Network
\{4D36E967-E325-11CE-BFC1-08002BE10318}\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SafeBoot\Network
\{4D36E967-E325-11CE-BFC1-08002BE10318}\@
键值: 字符串: "DiskDrive"
(6)删除注册表病毒添加到映像劫持项中所有内容,
映像劫持项路径:
[HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows NT\CurrentVersion
\Image File Execution Options\]
(7)将%System32%\verclsids.exe 文件
还原为%System32%\verclsid.exe文件。 |
|
IP卡
狗仔卡
发表于 2008-1-24 00:39:58
提升卡
置顶卡
喧嚣卡
变色卡
抢沙发
显身卡
这个病毒有点龌龊了~~~