Virus.Win32.AutoRun.hw病毒查杀

一、 病毒标签：

病毒名称： Virus.Win32.AutoRun.hw

病毒类型： 下载者

文件 MD5：e7bcf531a6ef19d51dfa0b3f61e3f370

公开范围： 完全公开

危害.等级： C

文件长度： 18.5 KB (18,944 字节)

开发工具： Borland Delphi 6.0 - 7.0

加壳类型： 18.5 KB (18,944 字节)壳

命名对照：

江民 Virus.Autorun.es

熊猫 Generic Malware

瑞星 Trojan.DL.Win32.Autorun.yui

AntiVir TR/Delphi.Downloader.Gen

二、 病毒描述：

该病毒为下载者，打开隐.藏IE进程，通过UrlDownloadToFileA函数连接网.络下载：

http://down.dj7788.cn/arp/0.exe

http://down.dj7788.cn/arp/1.exe

http://down.dj7788.cn/arp/2.exe

http://down.dj7788.cn/arp/3.exe

http://down.dj7788.cn/arp/4.exe

http://down.dj7788.cn/arp/5.exe

http://down.dj7788.cn/arp/6.exe

http://down.dj7788.cn/arp/7.exe

http://down.dj7788.cn/arp/8.exe

http://down.dj7788.cn/arp/9.exe

http://down.dj7788.cn/arp/10.exe

http://down.dj7788.cn/arp/11.exe

http://down.dj7788.cn/arp/12.exe

http://down.dj7788.cn/arp/13.exe

http://down.dj7788.cn/arp/14.exe

http://down.dj7788.cn/arp/15.exe

http://down.dj7788.cn/arp/16.exe

http://down.dj7788.cn/arp/17.exe

http://down.dj7788.cn/arp/18.exe

http://down.dj7788.cn/arp/19.exe

该域名在前段时间因为17大的来临被.我提交给CERT的ATEK了，已经被和谐处理，所以下载失败。

只需要.下载专杀程序进行清理就可以了。

三、 行为分析

通过拦截窗口并用虚拟键盘输出绕过瑞星卡卡上网安全助手的IE防漏墙：

UPX0:00405BE1 ; ---------------------------------------------------------------------------

UPX0:00405BE2 align 4

UPX0:00405BE4 ; char WindowName[]

UPX0:00405BE4 WindowName db ''''IE 执行保护'''',0 ; DATA XREF: StartAddress+32 o

UPX0:00405BF0 ; char ClassName[]

UPX0:00405BF0 ClassName db ''''#32770'''',0 ; DATA XREF: StartAddress+37 o

UPX0:00405BF0 ; StartAddress+4C o

UPX0:00405BF0 ; StartAddress+17F o

UPX0:00405BF7 align 4

UPX0:00405BF8 ; char s_IeGD[]

UPX0:00405BF8 s_IeGD db ''''IE执行保护'''',0 ; DATA XREF: StartAddress+47 o

UPX0:00405C03 align 4

UPX0:00405C04 ; char s_A_0[]

UPX0:00405C04 s_A_0 db ''''允许执行'''',0 ; DATA XREF: StartAddress+6C o

UPX0:00405C0D align 10h

UPX0:00405C10 ; char s_Button[]

UPX0:00405C10 s_Button db ''''Button'''',0 ; DATA XREF: StartAddress+71 o

UPX0:00405C10 ; StartAddress+F8 o

UPX0:00405C10 ; StartAddress+198 o

UPX0:00405C17 align 4

UPX0:00405C18 ; char s_I[]

UPX0:00405C18 s_I db ''''确定'''',0 ; DATA XREF: StartAddress:loc_405A7F o

UPX0:00405C1D align 10h

UPX0:00405C20 ; char s_IIL-IeI[]

UPX0:00405C20 s_IIL-IeI db ''''瑞星卡卡上网安全助手 - IE防漏墙'''',0

UPX0:00405C20 ; DATA XREF: StartAddress:loc_405B06 o

UPX0:00405C40 ; char s_A[]

UPX0:00405C40 s_A db ''''允许'''',0 ; DATA XREF: StartAddress+193 o

UPX0:00405C45 align 4

UPX0:00405C48

UPX0:00405C48 ; *************** S U B R O U T I N E ***************************************

添加启动项目：

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\Winownes "ImagePath"

Type: REG_EXPAND_SZ

Data: C:\\WINDOWS\\syst.em32\\sedrsvedt.exe

添加文件：

c:\\WINDOWS\\system32\\sedrsvedt.exe

Date: 10-16-2007 7:19 PM

Size: 18,944 bytes

*:\\autorun.inf

解决方案：

删除文件:

C:\\WINDOWS\\system3.2\\sedrsvedt.exe

*:\\autorun.inf

删除注册表:

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\Winownes "ImagePath"

Type: REG_EXPAND_SZ

Data: C:\\WINDOWS\\system32\\sedrsvedt.exe

SRENG：

[Telephotsgoogle / Winownes][Stopped/Auto Start]

{C:\\WINDOWS\\system32\\sedrsvedt.exe}{N/A}

或者下载专杀程序进行清除

Virus.Win32.AutoRun.hw病毒专杀工具下载

【原文地址：http://secure.itdigger.com/2007/10/16/203519546.htm 】