主题 : 8月3日病毒预报-- U盘蠕虫Worm.Win32.Autorun.eyo
喝水都长膘
级别: 正式版主

显示用户信息
0  发表于: 2008-08-02 21:51

8月3日病毒预报-- U盘蠕虫Worm.Win32.Autorun.eyo

Worm.Win32.Autorun.eyo
捕获时间
2008-08-02
病毒摘要
该样本是使用“Delphi”编写的“蠕虫程序”,由微点主动防御软件自动捕获,采用“FSG”加壳方式试图躲避特征码扫描,加壳后长度为“40,018 字节”,图标为

,使用“exe”的扩展名,通过“网页木马”、“文件感染”、“移动存储介质”等方式进行传播,植入目标计算机后下载其他木马程序到本地执行。
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马、文件感染、移动存储介质
安全提示
  已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);

  如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"Worm.Win32.Autorun.eyo”,请直接选择删除(如图2)。

    对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、建议关闭U盘自动播放,具体操作步骤:开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
4、开启windows自动更新,及时打好漏洞补丁。

病毒分析
该样本程序被执行后,在%SystemRoot%\system32\drivers\目录下释放驱动文件“beep.sys”,把%SystemRoot%\system32\目录设置为系统隐藏;将驱动文件“beep.sys”注册成名为“RESSDT”的服务并启动,恢复SSDT使部分安全软件监控失效。
  Quote:
项:HKLM\SYSTEM\CurrentControlSet\Services\RESSDT\
键值:DisplayName
指向数据:RESSDT
项:HKLM\SYSTEM\CurrentControlSet\Services\RESSDT\
键值:ImagePath
指向文件:\??\C:\WINDOWS\system32\drivers\beep.sys
项:HKLM\SYSTEM\ControlSet001\Services\RESSDT\
键值:Start
指向数据:03
拷贝自身到%SystemRoot%\system32目录下重新命名为“uqxlnros.exe”和 “bxymovdi.exe”,并为其设置“系统”和“隐藏”属性,使用函数“ WinExec”执行上述文件,修改如下注册表健值实现开机自启动,调用命令行执行自删除。
  Quote:
项:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\
键值:uqxlnros.exe
指向数据:C:\WINDOWS\system32\uqxlnros.exe
项:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\
键值:bxymovdi.exe
指向数据:C:\WINDOWS\system32\ bxymovdi.exe
病毒程序uqxlnros.exe和bxymovdi.exe运行后,执行以下动作:
映像劫持大部分安全软件及其系统工具,使其不能够正常为用户计算机提供安全保障
  Quote:
360rpt.exe 
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AntiU.exe
AppSvc32.exe
autorun.exe
avconsol.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
Discovery.exe
EGHOST.EXE
IceSword.exe
HijackThis.exe
QQKAV.EXE
Regedit.exe
查找如下“窗口名”或“类名”的窗口并将其关闭:
  Quote:
瑞星
网镖
木马
木馬
Ghost
IDA
Sniffer
DeBug
NOD32
FireWall
Virus
IceSword
删除修改注册表相关项破坏安全模式,遍历磁盘删除扩展名为“gho”的文件,使用户不能通过“ghost”恢复系统;通过查找%ProgramFiles%的环境变量获得“winrar”安装路径,遍历所有分区的“rar”、“zip”文件,找到后在后台调用“winrar.exe”,执行命令“\WinRAR.exe a -ep -u –inul”把病毒副本“歪歪的新家.exe” 压缩进压缩包,诱使用户点击,同时在用户解压加密的压缩包时使用函数“PostMessageA”发送“WM_CLOSE”消息使其退出;调用函数“DeleteFileA”将 %SystemRoot%\system32\drivers\etc目录下的“hosts”文件删除,达到突破常规网页免疫的目的,感染磁盘中文件扩展名为“htm”、“html”、“asp”、“aspx”、“php”、“jsp”、“exe”、“com”、“pif”、“scr”、“bat”等的文件,遍历磁盘寻找“QQDoctor”安装路径,找到后通过替换文件“TF000001.tsd”和“TM000001.TSD”禁用“QQ医生”。
修改如下注册表键值使被隐藏病毒文件使其不能被显示出来:
  Quote:
项:HKCU\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Explorer\Advanced\
键值:ShowSuperHidden
指向数据:00
项:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\
键值:CheckedValue: 0x00000001(被删除)
创建如下注册表键值开启Windows自动播放功能
  Quote:
项:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\
键值:NoDriveTypeAutoRun
指向数据:91
枚举盘符在各分区和移动存储介质中释放隐藏病毒文件bxymovdi.exe和autorun.inf,其中autorun.inf文件内容如下:
  Quote:
[AutoRun]
shell\open=打开(&O)
shell\open\Command=bxymovdi.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=bxymovdi.exe
使用Windows自动播放功能来传播病毒,判断移动存储介质在其中释放3个病毒副本“宝贝老婆的51秀”,“亲亲晓儿的51照片”,“瑞星2008截图”诱使用户点击中毒。
病毒同时在后台启动“IEXPLORE.EXE”进程,访问恶意网站“http://clubs.h***66.oaooao.com/ps.txt”下载病毒程序并运行。











家里补差的
级别: 管理员

显示用户信息
1  发表于: 2008-10-20 10:42

免费之家有您更精彩.
级别: 新人出动
显示用户信息
2  发表于: 2012-05-11 12:58

把个位先

有意思,不错!