安全响应·Security
病毒分析报告·Report

Worm.Win32.AutoRun.apm分析

出处:安天病毒分析组 时间:2008-01-15 14:20

病毒标签:

病毒名称: Worm.Win32.AutoRun.apm
病毒类型: 蠕虫类
文件 MD5: 2E6CFDA17762A2AAC27B032C7CF40749
公开范围: 完全公开
危害等级: 4
文件长度: 18,992 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: nSPack 2.1 - 2.5

病毒描述:

  该病毒为通过U盘等移动存储传播的木马下载器,病毒运行后复制自身到系
统目录,衍生病毒文件,其中无论自身副本还是衍生文件,文件名均为随机8位
字母和数字组合而成,这样对于病毒的清除带来了很大的困难。创建服务,并以
服务的方式达到随机启动的目的。此病毒还会在各个驱动器盘符下创建自启动文
件,增加病毒的存活时间。连接网络,下载大量的病毒文件,下载的病毒文件主
要是盗号木马。
行为分析:

本地行为:

1、文件运行后会衍生随机8位字母和数字组合成的exe和dll文件,
  本实例为B0A5B6E8.EXE和44A98A2C.DLL:

    %System32%\44A98A2C.DLL     45,05678 字节
    %System32%\B0A5B6E8.EXE     18,99278 字节

    在各个驱动器盘符下创建自启动文件autorun.inf,
    当打开盘符后便引导病毒体运行:
    %DriveLetter%\auto.exe      18,99278 字节
    %DriveLetter%\autorun.inf    78 字节
  
2、修改注册表:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows\CurrentVersion\Explorer\Advanced
    \Folder\Hidden\SHOWALL\CheckedValue]
    类型: DWORD
    新: DWORD: 0 (0)
    旧: DWORD: 1 (0x1)
    描述:使隐藏文件和文件夹不可见

3、删除Windows错误报告服务ERSvc,以降低系统安全性。

4、创建服务并以服务的方式达到随机启动的目的,本服务名称与描述可变,
  本次实例为667E56A与44A98A2C:

    服务名称:667E56A
    显示名称:667E56A
    描述语言:44A98A2C
    文件路径:C:\WINDOWS\system32\B0A5B6E8.EXE -k
    启动方式:自动

5、44A98A2C.DLL插入到Winlogon.exe等系统进程与应用程序进程中,
  以进行下载文件和监视的作用。

6、关闭avp.exe进程,检测窗口标题金山毒霸的警告窗体,如果检测到则关闭,
  达到对杀毒软件反查杀的能力。

网络行为:

1、连接网络下载病毒文件:

    连接网络下载update.txt文件,并以update.txt内的病毒
    下载列表下载病毒文件,update.exe内容如下:

    [update]
    ver=2008010508
    url=http://nx.51***.cn/soft/soft/e47e57844ef30ab4.exe
    updatetimer=180
    [startpage]
    startpage=0
    url=sssssssssssssssssss
    [desktop]
    desktop=0
    count=1
    title1=免费网络电话
    url1=http://sk***.tom.com/download/archive
    /01400974/SkypeClient.exe
    [file]
    file=1
    file1=http://222.73.247.***/mh0618.exe
    filename1=ffsea1.exe
    ftime1=0
    file2=http://222.73.247.***/my0616.exe
    filename2=ffsea2.exe
    ftime2=0
    file3=http://222.73.247.***/qj0617.exe
    filename3=ffsea3.exe
    ftime3=0
    file4=http://123.www****.cn/tl0619.exe
    filename4=ffsea4.exe
    ftime4=0
    file5=http://220.189.255.**/wow0617.exe
    filename5=ffsea5.exe
    ftime5=0
    file6=http://222.73.254.**/dh3.exe
    filename6=ffsea6.exe
    ftime6=0
    file7=http://220.189.255.**/qqsg.exe
    filename7=ffsea7.exe
    ftime7=0
    file8=http://222.73.247.***/jh0619.exe
    filename8=ffsea8.exe
    ftime8=0
    file9=http://222.73.254.**/zt0616.exe
    filename9=ffsea9.exe
    ftime9=0
    file10=http://222.73.247.***/wl0618.exe
    filename10=ffsea10.exe
    ftime10=0
    file11=http://220.189.255.**/cq0619.exe
    filename11=ffsea11.exe
    ftime11=0
    file12=http://222.73.247.***/wd0618.exe
    filename12=ffsea12.exe
    ftime12=0
    file13=http://222.73.254.**/huaxia.exe
    filename13=ffsea13.exe
    ftime13=0
    file14=http://222.73.254.**/qqhx.exe
    filename14=ffsea14.exe
    ftime14=0
    file15=http://220.189.255.**/dh0616.exe
    filename15=ffsea15.exe
    ftime15=0
    file16=http://61.129.45.***/fh.exe
    filename16=ffsea16.exe
    ftime16=0
    file17=http://61.129.45.***/zy.exe
    filename17=ffsea17.exe
    ftime17=0
    file18=http://123.www****.cn/mh2.exe
    filename18=ffsea18.exe
    ftime18=0
    file19=http://123.www****.cn/jt.exe
    filename19=ffsea19.exe
    ftime19=0
    file20=http://220.189.255.**/cs0619.exe
    filename20=ffsea20.exe
    ftime20=0
    count=20
    [count]
    count=0
    mecount=0
    url=http://nx.51***.cn/soft/count/count.asp

    下载病毒文件植入完毕以后生成如下文件:
    %Windir%\124327MM.DLL
    %Windir%\124327WL.DLL
    %Windir%\AVPSrv.exE
    %Windir%\cmdbcs.exe
    %Windir%\DbgHlp32.exe
    %Windir%\Kvsc3.exE
    %Windir%\LotusHlp.exe
    %Windir%mppds.exe
    %Windir%\msccrt.exe
    %Windir%\MsIMMs32.exE
    %Windir%\MsPrint32D.exe
    %Windir%\NAVMon32.exE
    %Windir%\NVDispDRV.EXE
    %Windir%\PTSShell.exe
    %Windir%\RegSrv64D.exE
    %Windir%\SHAProc.exe
    %Windir%\upxdnd.exe
    %Windir%\WinForm.exE
    %Windir%\WSockDrv32.exe
    %System32%\AVPSrv.dll
    %System32%\cmdbcs.dll
    %System32%\DbgHlp32.dll
    %System32%\k120027795711.exe
    %System32%\k120027796820.exe
    %System32%\Kvsc3.dll
    %System32%\LotusHlp.dll
    %System32%\LYLOADER.EXE
    %System32%\LYMANGR.DLL
    %System32%\mppds.dll
    %System32%\msccrt.dll
    %System32%\MSDEG32.DLL
    %System32%\MsIMMs32.dll
    %System32%\MsPrint32D.dll
    %System32%\NAVMon32.dll
    %System32%\NVDispDrv.dll
    %System32%\PTSShell.dll
    %System32%\REGKEY.hiv
    %System32%\RegSrv64D.dll
    %System32%\SHAProc.dll
    %System32%\upxdnd.dll
    %System32%\WinForm.dll
    %System32%\WSockDrv32.dll

    下载病毒文件运行后添加的启动项:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows\CurrentVersion\Run\AVPSrv
    键值: 字符串: "C:\WINDOWS\AVPSrv.exE"

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows\CurrentVersion\Run\cmdbcs
    键值: 字符串: "C:\WINDOWS\cmdbcs.exe"

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows\CurrentVersion\Run\DbgHlp32
    键值: 字符串: "C:\WINDOWS\DbgHlp32.exe"

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows\CurrentVersion\Run\Kvsc3
    键值: 字符串: "C:\WINDOWS\Kvsc3.exE"

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows\CurrentVersion\Run\LotusHlp
    键值: 字符串: "C:\WINDOWS\LotusHlp.exe"

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows\CurrentVersion\Run\mppds
    键值: 字符串: "C:\WINDOWS\mppds.exe"

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows\CurrentVersion\Run\msccrt
    键值: 字符串: "C:\WINDOWS\msccrt.exe"

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows\CurrentVersion\Run\MsIMMs32
    键值: 字符串: "C:\WINDOWS\MsIMMs32.exE"

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows\CurrentVersion\Run\MsPrint32D
    键值: 字符串: "C:\WINDOWS\MsPrint32D.exe"

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows\CurrentVersion\Run\NAVMon32
    键值: 字符串: "C:\WINDOWS\NAVMon32.exE"

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows\CurrentVersion\Run\NVDispDrv
    键值: 字符串: "C:\WINDOWS\NVDispDRV.EXE"

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft    
    \Windows\CurrentVersion\Run\PTSShell
    键值: 字符串: "C:\WINDOWS\PTSShell.exe"

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows\CurrentVersion\Run\RegSrv64D
    键值: 字符串: "C:\WINDOWS\RegSrv64D.exE"

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows\CurrentVersion\Run\SHAProc
    键值: 字符串: "C:\WINDOWS\SHAProc.exe"

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows\CurrentVersion\Run\upxdnd
    键值: 字符串: "C:\WINDOWS\upxdnd.exe"

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows\CurrentVersion\Run\WinForm
    键值: 字符串: "C:\WINDOWS\WinForm.exE"

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows\CurrentVersion\Run\WinSysM
    键值: 字符串: "C:\WINDOWS\124327M.exe"

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows\CurrentVersion\Run\WinSysW
    键值: 字符串: "C:\WINDOWS\124327L.exe"

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows\CurrentVersion\Run\WSockDrv32
    键值: 字符串: "C:\WINDOWS\WSockDrv32.exe"
   
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
  
    %Windir%             WINDODWS所在目录
    %DriveLetter%          逻辑驱动器根目录
    %ProgramFiles%          系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%    当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%           系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32                
    
清除方案:
 

1 、使用安天防线2008可彻底清除此病毒(推荐),
   请到安天网站下载:www.antiy.com 。 
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
   推荐使用ATool(安天安全管理工具),ATool下载地址:
   www.antiy.com或http://www.antiy.com/download/index.htm 。
    (1)使用Atool“进程管理”关闭病毒进程。
    (2)强行删除病毒文件:
      %System32%\44A98A2C.DLL
      %System32%\B0A5B6E8.EXE
      %DriveLetter%\auto.exe
      %DriveLetter%\autorun.inf
      %Windir%\124327MM.DLL
      %Windir%\124327WL.DLL
      %Windir%\AVPSrv.exE
      %Windir%\cmdbcs.exe
      %Windir%\DbgHlp32.exe
      %Windir%\Kvsc3.exE
      %Windir%\LotusHlp.exe
      %Windir%mppds.exe
      %Windir%\msccrt.exe
      %Windir%\MsIMMs32.exE
      %Windir%\MsPrint32D.exe
      %Windir%\NAVMon32.exE
      %Windir%\NVDispDRV.EXE
      %Windir%\PTSShell.exe
      %Windir%\RegSrv64D.exE
      %Windir%\SHAProc.exe
      %Windir%\upxdnd.exe
      %Windir%\WinForm.exE
      %Windir%\WSockDrv32.exe
      %System32%\AVPSrv.dll
      %System32%\cmdbcs.dll
      %System32%\DbgHlp32.dll
      %System32%\k120027795711.exe
      %System32%\k120027796820.exe
      %System32%\Kvsc3.dll
      %System32%\LotusHlp.dll
      %System32%\LYLOADER.EXE
      %System32%\LYMANGR.DLL
      %System32%\mppds.dll
      %System32%\msccrt.dll
      %System32%\MSDEG32.DLL
      %System32%\MsIMMs32.dll
      %System32%\MsPrint32D.dll
      %System32%\NAVMon32.dll
      %System32%\NVDispDrv.dll
      %System32%\PTSShell.dll
      %System32%\REGKEY.hiv
      %System32%\RegSrv64D.dll
      %System32%\SHAProc.dll
      %System32%\upxdnd.dll
      %System32%\WinForm.dll
      %System32%\WSockDrv32.dll
    (3)恢复病毒修改的注册表项目,删除病毒添加的注册表项:
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
      \Windows\CurrentVersion\Explorer
      \Advanced\Folder\Hidden\SHOWALL\CheckedValue]
      类型: DWORD
      新: DWORD: 0 (0)
      旧: DWORD: 1 (0x1)
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
      \Windows\CurrentVersion\Run\AVPSrv
      键值: 字符串: "C:\WINDOWS\AVPSrv.exE"
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
      \Windows\CurrentVersion\Run\cmdbcs
      键值: 字符串: "C:\WINDOWS\cmdbcs.exe"
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
      \Windows\CurrentVersion\Run\DbgHlp32
      键值: 字符串: "C:\WINDOWS\DbgHlp32.exe"
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
      \Windows\CurrentVersion\Run\Kvsc3
      键值: 字符串: "C:\WINDOWS\Kvsc3.exE"
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
      \Windows\CurrentVersion\Run\LotusHlp
      键值: 字符串: "C:\WINDOWS\LotusHlp.exe"
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
      \Windows\CurrentVersion\Run\mppds
      键值: 字符串: "C:\WINDOWS\mppds.exe"
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
      \Windows\CurrentVersion\Run\msccrt
      键值: 字符串: "C:\WINDOWS\msccrt.exe"
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
      \Windows\CurrentVersion\Run\MsIMMs32
      键值: 字符串: "C:\WINDOWS\MsIMMs32.exE"
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
      \Windows\CurrentVersion\Run\MsPrint32D
      键值: 字符串: "C:\WINDOWS\MsPrint32D.exe"
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
      \Windows\CurrentVersion\Run\NAVMon32
      键值: 字符串: "C:\WINDOWS\NAVMon32.exE"
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
      \Windows\CurrentVersion\Run\NVDispDrv
      键值: 字符串: "C:\WINDOWS\NVDispDRV.EXE"
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
      \Windows\CurrentVersion\Run\PTSShell
      键值: 字符串: "C:\WINDOWS\PTSShell.exe"
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
      \Windows\CurrentVersion\Run\RegSrv64D
      键值: 字符串: "C:\WINDOWS\RegSrv64D.exE"
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
      \Windows\CurrentVersion\Run\SHAProc
      键值: 字符串: "C:\WINDOWS\SHAProc.exe"
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
      \Windows\CurrentVersion\Run\upxdnd
      键值: 字符串: "C:\WINDOWS\upxdnd.exe"
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
      \Windows\CurrentVersion\Run\WinForm
      键值: 字符串: "C:\WINDOWS\WinForm.exE"
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
      \Windows\CurrentVersion\Run\WinSysM
      键值: 字符串: "C:\WINDOWS\124327M.exe"
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
      \Windows\CurrentVersion\Run\WinSysW
      键值: 字符串: "C:\WINDOWS\124327L.exe"
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
      \Windows\CurrentVersion\Run\WSockDrv32
      键值: 字符串: "C:\WINDOWS\WSockDrv32.exe"
    (4) 禁用服务667E56A
附:
 


点击此处下载安天防线2008

病毒上报信箱: submit@virusview.net
[TOP]