安全响应·Security
病毒分析报告·Report

Worm.Win32.AutoRun.cnv分析

出处:安天病毒分析组 时间:2008-02-18 10:50

病毒标签:

病毒名称: Worm.Win32.AutoRun.cnv
病毒类型: 蠕虫类
文件 MD5: FBCE46FA53201B02CCC5C495829CB6D5
公开范围: 完全公开
危害等级: 5
文件长度: 28,672 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: 未知壳
病毒描述:

  该病毒属蠕虫类。病毒运行后复制自身到%System32%及附属目录下;复制自身
到C至K盘的根目录下,并衍生autorun.inf文件,使病毒在双击打开盘符时运行;
在当前用户的临时文件夹下,衍生rs.bat文件;遍历进程列表,关闭指定的进程;
尝试关闭标题中含有指定字符串的活动窗口;修改注册表,添加两处启动项,创建
一项服务,锁定隐藏文件的显示方式,使用户无法通过“文件夹选项”显示隐藏文件;
程序运行过程中,由于自身问题会弹出错误对话框,使各盘符无法打开,只弹出对话
框;程序运行后尝试删除自身。连接网络下载文件,但所有文件都已经无法下载。
行为分析:

本地行为:

1、文件运行后会释放以下文件:

    %System%drivers\svchost.exe     28,672 字节
    %System%\microsoft.exe        28,672 字节
    %System%\SP00LV.exe          28,672 字节
    %Documents and Settings%\Administrator
    \Local Settings\Temp\rs.bat     105 字节
    %HomeDrive%\setup.exe         28,672 字节
    %HomeDrive%\AutoRun.inf        163 字节
    %DriveLetter%\setup.exe        28,672 字节
    %DriveLetter%\AutoRun.inf       163 字节
  
2、新增注册表:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows\CurrentVersion\Run]
    注册表值: "Internat"
    类型: REG_SZ
    值: "C:\WINDOWS\system32\microsoft.exe"
    描述: 启动项,使病毒文件在当该系统的所有用户
    登陆该系统时,运行病毒文件。

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows\CurrentVersion\Run]
    注册表值: "Program Files"
    类型: REG_SZ
    值: "C:\WINDOWS\system32\SP00LV.exe"
    描述: 启动项,使病毒文件在当该系统的所有用户
    登陆该系统时,运行病毒文件。

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
    \Services\Winnet COM+]
    注册表值: "DisplayName
    类型: REG_SZ
    值:"Winnet COM+"
    描述: 服务名称。
    
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
    \Services\Winnet COM+]
    注册表值: "ImagePath"
    类型: REG_SZ
    值:"C:\WINDOWS\system32\drivers\svchost.exe"
    描述: 服务启动的映像路径。

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
    \Services\Winnet COM+]
    注册表值: "Start"
    类型: DWORD
    值:"2"
    描述:服务的启动方式。

3、修改注册表:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows\CurrentVersion\Explorer
    \Advanced\Folder\Hidden\SHOWALL]
    新建键值:字串:"CheckedValue"="1"
    原键值:字串:"CheckedValue"="0"
    描述: 锁定隐藏文件的显示方式,使用户无法通过
    “文件夹选项”显示隐藏文件。    

4、被监视的进程名称列表:

    360tray.exe、RavTask.exe、RavStub.exe、
    RavMonD.exe、RavMon.exe、CCenter.exe、
    rfwstub.exe、rfwProxy.exe、rfwsrv.exe、
    rfwmain.exe、Ras.exe、runiep.exe

5、标题栏中被监视的字符串列表:

    安全卫士、扫描、专杀、注册表、Process 进程、
    毒、木马、防御、防火墙、病毒、检测、Firewall、
    virus、anti、金山、江民、卡巴斯基、worm、杀毒、
    360、专杀、微点、micropoint、克星、广告、
    Kaspersky、AVK F-Secure、eScan、Norton、诺顿、
    McAfee、Virus、Panda、熊猫、Trojan、Door、AVG

6、rs.bat文件代码:

    @echo off
    :start
    if not exist ""%1"" goto done
    del /F ""%1""
    del ""%1""
    goto start
    :done
    del /F %t

注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
  
    %Windir%             WINDODWS所在目录
    %DriveLetter%          逻辑驱动器根目录
    %ProgramFiles%          系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%    当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%           系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32                
    
清除方案:
 

1 、使用安天防线2008可彻底清除此病毒(推荐),
   请到安天网站下载:www.antiy.com 。 
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。  
    (1)使用安天木马防线或ATool中的“进程管理”关闭病毒
      %System%drivers\svchost.exe
      %System%\microsoft.exe
      %System%\SP00LV.exe
      %Documents and Settings%\Administrator
      \Local Settings\Temp\rs.bat
      %HomeDrive%\setup.exe
      %HomeDrive%\AutoRun.inf
      %DriveLetter%\setup.exe
      %DriveLetter%\AutoRun.inf
    (2)恢复病毒修改的注册表项目,删除病毒添加的注册表项:
     删除如下注册表项:
     [HKEY_LOCAL_MACHINE\SOFTWARE
     \Microsoft\Windows\CurrentVersion\Run]
     注册表值: "Internat"
     类型: REG_SZ
     值: "C:\WINDOWS\system32\microsoft.exe"
     [HKEY_LOCAL_MACHINE\SOFTWARE
     \Microsoft\Windows\CurrentVersion\Run]
     注册表值: "Program Files"
     类型: REG_SZ
     值: "C:\WINDOWS\system32\SP00LV.exe"
     [HKEY_LOCAL_MACHINE\SYSTEM
     \ControlSet001\Services\Winnet COM+]
     注册表值: "DisplayName
     类型: REG_SZ
     值:"Winnet COM+"
     [HKEY_LOCAL_MACHINE\SYSTEM
     \ControlSet001\Services\Winnet COM+]
     注册表值: "ImagePath"
     类型: REG_SZ
     值:"C:\WINDOWS\system32\drivers\svchost.exe"
     [HKEY_LOCAL_MACHINE\SYSTEM
     \ControlSet001\Services\Winnet COM+]
     注册表值: "Start"
     类型: DWORD
     值:"2"
     恢复如下注册表项
     [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
     \Windows\CurrentVersion\Explorer
     \Advanced\Folder\Hidden\SHOWALL]
     新建键值:字串:"CheckedValue"="1"
     原键值:字串:"CheckedValue"="0"
附:
 


点击此处下载安天防线2008

病毒上报信箱: submit@virusview.net
[TOP]