Worm/Win32.Runouce.b[Email]分析

病毒标签

病毒名称： Worm/Win32.Runouce.b[Email]
病毒类型： 蠕虫
文件 MD5： 5BCD5AC1E81E9AD7D75B031DA6DF401B
公开范围： 完全公开
危害等级： 4
文件长度： 126,976 字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual Basic 5.0 / 6.0

病毒描述

    该恶意文件为蠕虫病毒，本恶意病毒文件进行了加密处理，病毒运行后、暴力搜索kernel32基址，动态获取大量API函数地址，创建互斥量名为"ChineseHacker-2"，防止多次运行产生的冲突，调用API函数隐藏打开病毒本体文件，创建病毒文件"runouce.exe、KillEDLL.DLL"到%system32%目录下，按节分别将病毒代码写入该文件中，试图将病毒DLL注入到所有进程中，并将属性设置为隐藏，添加注册表启动项、创建一个注册表监视的线程，如被删除，则立即重新写入病毒启动项，在系统目录下衍生"readme.eml"文件，该文件为病毒发送的邮件内容，该邮件内容为了躲避安全软件查杀便做了Base64加密处理，解密后得到的数据为PE文件可执行文件（病毒体文件），病毒调用系统自带的Outlook Express发送恶意邮件，病毒利用发送恶意邮件来传播自身。

行为分析-本地行为

1、文件运行后会释放以下文件
%System32%\KillEDLL.DLL
%System32%\MSWBPROTECT.DLL
%System32%\runouce.exe
%Program Files%\Common Files\Microsoft Shared\Stationery\readme.eml
%Program Files%\Common Files\System\ado\readme.eml
%Program Files%\NetMeeting\readme.eml

2、本恶意病毒文件进行了加密处理，病毒运行后、暴力搜索kernel32基址，动态获取大量API函数地址，调用API函数CreateMutexA创建互斥量名为"ChineseHacker-2"，防止多次运行产生的冲突。

3、添加注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Runonce
值: 字符串: "C:\WINDOWS\system32\runouce.exe"
描述：添加注册表启动项

4、调用API函数隐藏打开病毒本体文件，创建病毒文件"runouce.exe"到%system32%目录下，按节分别将病毒代码写入该文件中，并将属性设置为隐藏，添加注册表启动项、创建一个注册表监视的线程，如被删除，则立即重新写入病毒启动项。

5、在系统目录下衍生"readme.eml"文件，该文件为病毒发送的邮件内容，该邮件内容为了躲避安全软件查杀便做了Base64加密处理，解密后得到的数据为PE文件可执行文件（病毒体文件），病毒调用系统自带的Outlook Express发送恶意邮件。

行为分析-网络行为

协议：TCP
端口：139 445
描述：通过以上端口发送恶意邮件，邮件内容为：
HELO btamail.net.cn
MAIL FROM: imissyou@btamail.net.cn
RCPT TO:
DATA
FROM: A-738DF22C9CA04@yahoo.com
TO:
SUBJECT: A-738DF22C9CA04 is comming!
MIME-Version: 1.0
Content-type: multipart/mixed; boundary="#BOUNDARY#"
--#BOUNDARY#
Content-Type: text/html
Content-Transfer-Encoding: quoted-printable
<html><HEAD></HEAD><body bgColor=3D#ffffff><iframe src=3Dcid:THE-CID height=3D0 width=3D0></iframe></body></html>
--#BOUNDARY#
MIME-Version: 1.0
Content-Type: audio/x-wav; name="pp.exe"
Content-Transfer-Encoding: base64
Content-id: THE-CID
经解密得到数据： HELO btamail.net.cn
MAIL FROM: imissyou@btamail.net.cn
RCPT TO:
DATA
FROM: A-738DF22C9CA04@yahoo.com
TO:
SUBJECT: A-738DF22C9CA04 is comming!
MIME-Version: 1.0
Content-type: multipart/mixed; boundary="#BOUNDARY#"

--#BOUNDARY#
Content-Type: text/html
Content-Transfer-Encoding: quoted-printable

<html><HEAD></HEAD><body bgColor=3D#ffffff><iframe src=3Dcid:THE-CID height=3D0 width=3D0></iframe></body></html>

--#BOUNDARY#
MIME-Version: 1.0
Content-Type: audio/x-wav; name="pp.exe"
Content-Transfer-Encoding: base64
Content-id: THE-CID

    解密之后发现该内容为PE可执行文件，病毒调用系统自带的Outlook Express发送恶意邮件，病毒利用发送恶意邮件来传播自身。

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
　　　　 %Windir% 　　　　　 　　　　　 WINDODWS所在目录
　　　　 %DriveLetter%　 　　　　　　　 逻辑驱动器根目录
　　　　 %ProgramFiles%　 　 　　　　　 系统程序默认安装目录
　　　　 %HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　 %Documents and Settings% 　　　当前用户文档根目录
　　　　 %Temp% 　　　　　　　　　　　　\Documents and Settings\当前用户\Local Settings\Temp
　　　　 %System32% 　　　　　　　　　　系统的 System32文件夹
　　　　
　　　　 Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　 windows95/98/me中默认的安装路径是%WINDOWS%\System
　　　　 windowsXP中默认的安装路径是%system32%

清除方案

1、使用安天防线可彻底清除此病毒(推荐)，请点击下载(http://www.antiyfx.com)。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
推荐使用ATool管理工具，请点击下载(http://www.antiy.com/cn/download/index.htm)。
（1）开机按F8启动到安全模式，使用ATOOL“进程管理”
强行删除以下病毒文件
%System32%\KillEDLL.DLL
%System32%\MSWBPROTECT.DLL
%System32%\runouce.exe
%Program Files%\Common Files\Microsoft Shared\Stationery\readme.eml
%Program Files%\Common Files\System\ado\readme.eml
%Program Files%\NetMeeting\readme.eml

（2）删除病毒添加的服务
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Runonce
删除Run键值下的Runonce主键值