安全响应·Security
|
Worm.Win32.AutoRun.bkt分析
出处:安天病毒分析组 时间:2008-01-17 16:20
 病毒标签: |
|
病毒名称:
Worm.Win32.AutoRun.bkt
病毒类型: 蠕虫类
文件 MD5: 56A73ED1918F24D7FE2EB597423011D3
公开范围: 完全公开
危害等级: 5
文件长度: 19,472 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: Upack 0.3.9 beta2s -> Dwing
|
| 病毒描述: |
|
该病毒属蠕虫类。病毒运行后,复制自身到各个盘符根目录下;在
%Windir%\Font目录下创建一个资源管理器看不到以MAC地址为名称的文件夹,
将病毒复制到该文件夹下,修改注册表,添加启动项;添加大量映像劫持,但
并不指向病毒文件,而是指向系统文件;连接网络下载病毒文件,下载的病毒
文件主要是盗号木马。
|
| 行为分析: |
|
本地行为:
1、文件运行后会释放以下文件:
%HomeDrive%\ntldr.exe 19,472 字节
%HomeDrive%\autorun.inf 85 字节
%DriveLetter%\ntldr.exe 19,472 字节
%DriveLetter%\autorun.inf 85 字节
%Windir%\Font\(本机MAC地址)\system\wdfmgr.exe 19,472 字节
2、新增注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\run]
注册表值: "TBMonEx"
类型: REG_SZ
值: "C:\WINDOWS\Fonts\(本机MAC地址)\system\wdfmgr.exe"
描述: 启动项,使病毒文件在当该系统的所有用户登陆该系统时,
运行病毒文件。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows NT\CurrentVersion
\Image File Execution Options
\被映像劫持的文件名称]
注册表值: "Debugger"
类型: REG_SZ
值: "net"
描述: 映像劫持项,当系统执行被映像劫持的文件名称时,
将不执行该文件,而是执行映像文件。
被映像劫持的文件名称列表如下:
360rpt.exe、360Safe.exe、360tray.exe、
_AVP32.EXE、_AVPCC.EXE、_AVPM.EXE、ACKWIN32.EXE、
ANTI-TROJAN.EXE、APVXDWIN.EXE、AUTODOWN.EXE、
AVCONSOL.EXE、AVE32.EXE、AVGCTRL.EXE、AVKSERV.EXE、
AVNT.EXE、AVP.EXE、AVP32.EXE、AVPCC.EXE、
AVPDOS32.EXE、AVPM.EXE、AVPTC32.EXE、AVPUPD.EXE、
AVSCHED32.EXE、AVWIN95.EXE、AVWUPD32.EXE、BLACKD.EXE、
BLACKICE.EXE、CFIADMIN.EXE、CFIAUDIT.EXE、CFINET.EXE、
CFINET32.EXE、CLAW95.EXE、CLAW95CF.EXE、CLEANER.EXE、
CLEANER3.EXE、DVP95.EXE、DVP95_0.EXE、ECENGINE.EXE、
EGHOST.EXE、ESAFE.EXE、EXPWATCH.EXE、F-AGNT95.EXE、
F-PROT.EXE、F-PROT95.EXE、F-STOPW.EXE、FESCUE.EXE、
FINDVIRU.EXE、FP-WIN.EXE、FPROT.EXE、FRW.EXE、
IAMAPP.EXE、IAMSERV.EXE、IBMASN.EXE、IBMAVSP.EXE、
ICLOAD95.EXE、ICLOADNT.EXE、ICMON.EXE、ICSUPP95.EXE、
ICSUPPNT.EXE、IFACE.EXE、IOMON98.EXE、Iparmor.exe、
JEDI.EXE、KAV32.exe、KAVPFW.EXE、KAVsvc.exe、
KAVSvcUI.exe、KVFW.EXE、KVMonXP.exe、KVMonXP.kxp、
KVSrvXP.exe、KVwsc.exe、KvXP.kxp、KWatchUI.EXE、
LOCKDOWN2000.EXE、Logo1_.exe、Logo_1.exe、
LOOKOUT.EXE、LUALL.EXE、MAILMON.EXE、MOOLIVE.EXE、
MPFTRAY.EXE、N32SCANW.EXE、Navapsvc.exe、
Navapw32.exe、NAVLU32.EXE、NAVNT.EXE、navw32.EXE、
NAVWNT.EXE、NISUM.EXE、NMain.exe、NORMIST.EXE、
NUPGRADE.EXE、NVC95.EXE、PAVCL.EXE、PAVSCHED.EXE、
PAVW.EXE、PCCWIN98.EXE、PCFWALLICON.EXE、PERSFW.EXE、
PFW.EXE、Rav.exe、RAV7.EXE、RAV7WIN.EXE、RAVmon.exe、
RAVmonD.exe、RAVtimer.exe、Rising.exe、SAFEWEB.EXE、
SCAN32.EXE、SCAN95.EXE、SCANPM.EXE、SCRSCAN.EXE、
SERV95.EXE、SMC.EXE、SPHINX.EXE、SWEEP95.EXE、
TBSCAN.EXE、TCA.EXE、TDS2-98.EXE、TDS2-NT.EXE、
THGUARD.EXE、TrojanHunter.exe、VET95.EXE、
VETTRAY.EXE、VSCAN40.EXE、VSECOMR.EXE、VSHWIN32.EXE、
VSSTAT.EXE、WEBSCANX.EXE、WFINDV32.EXE、
ZONEALARM.EXE、修复工具.exe
网络行为:
1、连接网络下载病毒文件:
连接网络:
http://c.***.us:999/soundma.exe
http://c.***.us:999/host.exe
http://c.***.us:999/lmmh.exe
http://c.***.us:999/lmmy.exe
http://c.***.us:999/wdlm.exe
http://c.***.us:999/fbd.exe
http://a.8q8.biz:666/xin.jpg
http://e.***.us/00023.exe
http://e.***.us/00001.exe
http://g.***.us/00022.exe
http://e.***.us/00002.exe
http://e.***.us/00003.exe
http://e.***.us/00004.exe
http://e.***.us/00005.exe
http://f.***.us/00012.exe
http://f.***.us/00013.exe
http://f.***.us/00015.exe
http://f.***.us/00016.exe
http://f.***.us/00017.exe
http://f.***.us/00022.exe
http://f.***.us/00014.exe
http://g.***.us/00018.exe
http://g.***.us/00019.exe
http://g.***.us/00020.exe
http://g.***.us/00024.exe
http://g.***.us/00021.exe
http://qq.***.us/00025.exe
http://qq.***.us/arp111.exe
http://g.***.us/jz.exe
http://g.***.us/dd.exe
http://tx.ba***.com/spoolsv.exe
下载病毒文件并自动运行,衍生文件如下:
%System32%\daemon_mgm.exe 正常文件
%System32%\DbgHlp32.dll
infected: Trojan-PSW.Win32.OnLineGames.oiu
%System32%\ijougiemnaw.dll
infected: Trojan-PSW.Win32.OnLineGames.ohj
%System32%\MsPrint32D.dll
infected: Trojan-PSW.Win32.OnLineGames.obn
%System32%\NAVMon32.dll
infected: Trojan-PSW.Win32.OnLineGames.nkm
%System32%\NetMonInstaller.exe 正常文件
%System32%\niluw.dll
infected: Trojan-PSW.Win32.OnLineGames.oag
%System32%\npf_mgm.exe 正常文件
%System32%\packet.dll 正常文件
%System32%\rpcapd.exe 正常文件
%System32%\upxdnd.dll
infected: Trojan-PSW.Win32.OnLineGames.oca
%System32%\wanpacket.dll 正常文件
%System32%\WinForm.dll
infected: Trojan-PSW.Win32.OnLineGames.nzb
%System32%\wpcap.dll 正常文件
%System32%\drivers\msacpe.sys
infected: Trojan-PSW.Win32.OnLineGames.oah
%System32%\drivers\npf.sys 正常文件
%Windir%\DbgHlp32.exe
infected: Trojan-PSW.Win32.OnLineGames.oiu
%Windir%\upxdnd.exe
infected: Trojan-PSW.Win32.OnLineGames.oca
%Windir%\WinForm.exE
infected: Trojan-PSW.Win32.OnLineGames.nza
%Windir%\fonts\ardabse.fon
infected: Trojan-PSW.Win32.OnLineGames.oiu
%Windir%\fonts\avzxoin.dll
infected: Trojan-PSW.Win32.OnLineGames.oiu
%Windir%\fonts\avzxomn.dll
infected: Trojan-PSW.Win32.OnLineGames.oiu
%Windir%\fonts\avzxost.exe
infected: Trojan-PSW.Win32.OnLineGames.odx
%Windir%\fonts\chqibur.fon
infected: Trojan-PSW.Win32.OnLineGames.oio
%Windir%\fonts\chrebur.fon
infected: Trojan-PSW.Win32.OnLineGames.ohk
%Windir%\fonts\enwebfx.fon
infected: Trojan-PSW.Win32.OnLineGames.oha
%Windir%\fonts\gejibnd.fon
infected: Trojan-PSW.Win32.OnLineGames.oan
%Windir%\fonts\gjcsdss.dll
infected: Trojan-PSW.Win32.OnLineGames.oee
%Windir%\fonts\gjcsdyc.dll
infected: Trojan-PSW.Win32.OnLineGames.oec
%Windir%\fonts\gjcsdzc.exe
infected: Trojan-PSW.Win32.OnLineGames.oee
%Windir%\fonts\gjcubxw.fon
infected: Trojan-PSW.Win32.OnLineGames.oee
%Windir%\fonts\jshubxw.fon
infected: Trojan-PSW.Win32.OnLineGames.oeh
%Windir%\fonts\jsqxcss.dll
infected: Trojan-PSW.Win32.OnLineGames.oeh
%Windir%\fonts\jsqxcyc.dll
infected: Trojan-PSW.Win32.OnLineGames.oeh
%Windir%\fonts\jsqxczc.exe
infected: Trojan-PSW.Win32.OnLineGames.nxz
%Windir%\fonts\kawdjaz.exe
infected: Trojan-PSW.Win32.OnLineGames.nzk
%Windir%\fonts\kawdjcs.dll
infected: Trojan-PSW.Win32.OnLineGames.odc
%Windir%\fonts\kawdjzy.dll
infected: Trojan-PSW.Win32.OnLineGames.odc
%Windir%\fonts\kvdxmcf.dll
infected: Trojan-PSW.Win32.OnLineGames.obr
%Windir%\fonts\kvdxmis.exe
infected: Trojan-PSW.Win32.OnLineGames.obr
%Windir%\fonts\kvdxmma.dll
infected: Trojan-PSW.Win32.OnLineGames.obr
%Windir%\fonts\mszhbsda.fon
infected: Trojan-PSW.Win32.OnLineGames.okc
%Windir%\fonts\raqjnni.dll
infected: Trojan-PSW.Win32.OnLineGames.okc
%Windir%\fonts\raqjnpi.dll
infected: Trojan-PSW.Win32.OnLineGames.okc
%Windir%\fonts\raqjntl.exe
infected: Trojan-PSW.Win32.OnLineGames.odx
%Windir%\fonts\rarjfni.dll
infected: Trojan-PSW.Win32.OnLineGames.nzg
%Windir%\fonts\rarjfpi.dll
infected: Trojan-PSW.Win32.OnLineGames.nzg
%Windir%\fonts\rarjftl.exe
infected: Trojan-PSW.Win32.OnLineGames.nzd
%Windir%\fonts\rsjzbfg.dll
infected: Trojan-PSW.Win32.OnLineGames.oef
%Windir%\fonts\rsjzbpm.dll
infected: Trojan-PSW.Win32.OnLineGames.oef
%Windir%\fonts\rsjzbsp.exe
infected: Trojan-PSW.Win32.OnLineGames.oeg
%Windir%\fonts\(本机MAC地址)\system\00016.exe
infected: Trojan-PSW.Win32.OnLineGames.nzd
%Windir%\fonts\(本机MAC地址)\system\00017.exe
infected: Trojan-PSW.Win32.OnLineGames.odx
%Windir%\fonts\(本机MAC地址)\system\00023.exe
infected: Trojan-PSW.Win32.OnLineGames.jct
%Windir%\fonts\(本机MAC地址)\system\00025.exe
infected: Trojan-PSW.Win32.QQPass.arp
%Windir%\fonts\(本机MAC地址)\system\fbd.exe
infected: Trojan.Win32.Agent.drk
%Windir%\fonts\(本机MAC地址)\system\inudhya.dll
infected: Trojan.Win32.Agent.diq
%Windir%\fonts\(本机MAC地址)\system\KB930.vxd
infected: Trojan.Win32.Agent.diq
%Windir%\fonts\(本机MAC地址)\system\lmmh.exe
infected: Trojan.Win32.Small.uj
%Windir%\fonts\(本机MAC地址)\system\lmmy.exe
infected: Trojan-PSW.Win32.OnLineGames.kaw
%Windir%\fonts\(本机MAC地址)\system\soundma.exe
infected: Trojan.Win32.Agent.diq
%Windir%\fonts\(本机MAC地址)\system\wdfmgr.exe
infected: Worm.Win32.AutoRun.bkt
%Windir%\fonts\(本机MAC地址)\system\wdlm.exe
infected: Trojan-Downloader.Win32.Small.hiq
%病毒文件运行的目录%\motou.exe
infected: Backdoor.Win32.Delf.cjx
%病毒文件运行的目录%\smss.com
infected: Backdoor.Win32.Delf.awy
%病毒文件运行的目录%\smss.exe
infected: Backdoor.Win32.Delf.awy
%DriveLetter%\autorun.inf
infected: Worm.Win32.AutoRun.bkt
%DriveLetter%\ntldr.exe
infected: Worm.Win32.AutoRun.bkt
%Program Files%\Internet Explorer\PLUGINS\NvSys_55.Sys
infected: Trojan-PSW.Win32.QQPass.arq
%Program Files%\Internet Explorer\PLUGINS\NvWin_5.Jmp
infected: Trojan-PSW.Win32.QQPass.arq
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
|
|
|
| 清除方案: |
| |
1 、使用安天防线2008可彻底清除此病毒(推荐),
请到安天网站下载:www.antiy.com 。
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
推荐使用ATool(安天安全管理工具),ATool下载地址:
www.antiy.com或http://www.antiy.com/download/index.htm 。
(1)使用Atool“进程管理”关闭病毒进程。
(2)强行删除病毒文件:
%HomeDrive%\ntldr.exe
%HomeDrive%\autorun.inf
%DriveLetter%\ntldr.exe
%DriveLetter%\autorun.inf
%Windir%\Font\(本机MAC地址)\system\wdfmgr.exe
(3)删除病毒添加的注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion\Run\run]
注册表值: "TBMonEx"
类型: REG_SZ
值: "C:\WINDOWS\Fonts\00-0C-29-9C-7B-01
\system\wdfmgr.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows NT\CurrentVersion
\Image File Execution Options
\被映像劫持的文件名称]
注册表值: "Debugger"
类型: REG_SZ
值: "net"
被映像劫持的文件名称列表如下:
360rpt.exe、360Safe.exe、360tray.exe、
_AVP32.EXE、_AVPCC.EXE、_AVPM.EXE、
ACKWIN32.EXE、ANTI-TROJAN.EXE、
APVXDWIN.EXE、AUTODOWN.EXE、AVCONSOL.EXE、
AVE32.EXE、AVGCTRL.EXE、AVKSERV.EXE、
AVNT.EXE、AVP.EXE、AVP32.EXE、AVPCC.EXE、
AVPDOS32.EXE、AVPM.EXE、AVPTC32.EXE、
AVPUPD.EXE、AVSCHED32.EXE、AVWIN95.EXE、
AVWUPD32.EXE、BLACKD.EXE、BLACKICE.EXE、
CFIADMIN.EXE、CFIAUDIT.EXE、CFINET.EXE、
CFINET32.EXE、CLAW95.EXE、CLAW95CF.EXE、
CLEANER.EXE、CLEANER3.EXE、DVP95.EXE、
DVP95_0.EXE、ECENGINE.EXE、EGHOST.EXE、
ESAFE.EXE、EXPWATCH.EXE、F-AGNT95.EXE、
F-PROT.EXE、F-PROT95.EXE、F-STOPW.EXE、
FESCUE.EXE、FINDVIRU.EXE、FP-WIN.EXE、
FPROT.EXE、FRW.EXE、IAMAPP.EXE、IAMSERV.EXE、
IBMASN.EXE、IBMAVSP.EXE、ICLOAD95.EXE、
ICLOADNT.EXE、ICMON.EXE、ICSUPP95.EXE、
ICSUPPNT.EXE、IFACE.EXE、IOMON98.EXE、
Iparmor.exe、JEDI.EXE、KAV32.exe、KAVPFW.EXE、
KAVsvc.exe、KAVSvcUI.exe、KVFW.EXE、
KVMonXP.exe、KVMonXP.kxp、KVSrvXP.exe、
KVwsc.exe、KvXP.kxp、KWatchUI.EXE、
LOCKDOWN2000.EXE、Logo1_.exe、Logo_1.exe、
LOOKOUT.EXE、LUALL.EXE、MAILMON.EXE、
MOOLIVE.EXE、MPFTRAY.EXE、N32SCANW.EXE、
Navapsvc.exe、Navapw32.exe、NAVLU32.EXE、
NAVNT.EXE、navw32.EXE、NAVWNT.EXE、NISUM.EXE、
NMain.exe、NORMIST.EXE、NUPGRADE.EXE、
NVC95.EXE、PAVCL.EXE、PAVSCHED.EXE、PAVW.EXE、
PCCWIN98.EXE、PCFWALLICON.EXE、PERSFW.EXE、
PFW.EXE、Rav.exe、RAV7.EXE、RAV7WIN.EXE、
RAVmon.exe、RAVmonD.exe、RAVtimer.exe、
Rising.exe、SAFEWEB.EXE、SCAN32.EXE、
SCAN95.EXE、SCANPM.EXE、SCRSCAN.EXE、
SERV95.EXE、SMC.EXE、SPHINX.EXE、SWEEP95.EXE、
TBSCAN.EXE、TCA.EXE、TDS2-98.EXE、TDS2-NT.EXE、
THGUARD.EXE、TrojanHunter.exe、VET95.EXE、
VETTRAY.EXE、VSCAN40.EXE、VSECOMR.EXE、
VSHWIN32.EXE、VSSTAT.EXE、WEBSCANX.EXE、
WFINDV32.EXE、ZONEALARM.EXE、修复工具.exe
|
| 附: |
| |
点击此处下载安天防线2008
 病毒上报信箱: submit@virusview.net |
|
