| 词条 | Virus.Win32.AutoRun.y |
| 释义 | 病毒名称: Virus.Win32.AutoRun.y病毒类型: 病毒文件 MD5: 92EC82B55CF7D5878B29A837BCD609CC公开范围: 完全公开危害等级: 4文件长度: 53,760 字节感染系统: Windows98以上版本开发工具: Borland Delphi 6.0 - 7.0加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.22 一、 病毒描述: 病毒运行后复制自身到系统目录,并重命名为death.exe ,衍生病毒文件。 修改注册表,添加启动项,以达到随机启动的目的。该病毒利用U盘等移动存储介质进行传播,还可通过弱口令扫描其它机器传播自身。通过修改hosts文件使用户无法打开常见杀毒软件网站。主动连接网络,下载相关病毒文件信息。 二、 行为分析: 本地行为: 1、文件运行后会释放以下文件 %HomeDrive%\\pass.dic 14,456 字节 %System32%\\death.exe 53,760 字节 %System32%\\Death.SiShen 81 字节 %System32%\\drivers\\etc\\hosts 2,680 字节 2、新增注册表 [HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run] 注册表值: " Death.exe" 类型: REG_SZ 值: " C:\\WINDOWS\\system32\\Death.exe" 描述: 添加启动项,以达到随机启动的目的 3、修改hosts文件,以使kaspersky、江民、瑞星的网站信息无法显示: 127.0.0.1 localhost 188.188.122.33 localhost dnl-us1.kaspersky-labs.com localhost dnl-us2.kaspersky-labs.com localhost dnl-us3.kaspersky-labs.com localhost dnl-us4.kaspersky-labs.com localhost dnl-us5.kaspersky-labs.com localhost dnl-us6.kaspersky-labs.com localhost dnl-us7.kaspersky-labs.com localhost dnl-us8.kaspersky-labs.com localhost dnl-us9.kaspersky-labs.com localhost dnl-us10.kaspersky-labs.com localhost dnl-us11.kaspersky-labs.com localhost dnl-us12.kaspersky-labs.com localhost dnl-us13.kaspersky-labs.com localhost dnl-us14.kaspersky-labs.com localhost dnl-us15.kaspersky-labs.com localhost dnl-us16.kaspersky-labs.com localhost dnl-us17.kaspersky-labs.com localhost dnl-us18.kaspersky-labs.com localhost dnl-us19.kaspersky-labs.com localhost dnl-us20.kaspersky-labs.com localhost update.jiangmin.info localhost update1.jiangmin.info localhost update2.jiangmin.info localhost update3.jiangmin.info localhost update4.jiangmin.info localhost update5.jiangmin.info localhost update6.jiangmin.info localhost update7.jiangmin.info localhost update8.jiangmin.info localhost update9.jiangmin.info localhost update10.jiangmin.info localhost update.jiangmin.com localhost update1.jiangmin.com localhost update2.jiangmin.com localhost update3.jiangmin.com localhost update4.jiangmin.com localhost update5.jiangmin.com localhost update6.jiangmin.com localhost update7.jiangmin.com localhost update8.jiangmin.com localhost update9.jiangmin.com localhost update10.jiangmin.com localhost edu.jiangmin.com localhost edu1.jiangmin.com localhost edu2.jiangmin.com localhost edu3.jiangmin.com localhost rsdownauto.rising.com.cn localhost 4、弱口令猜测 www.newjian.com 通过弱口令扫描其它机器,传播自身;弱口令表存储在 pass.dic文件内。 5、利用U盘等移动存储介质进行传播。当移动存储介质与电脑连接后则自动写入Autorun.inf文件与对应执行文件Death.exe,即病毒副本。Autorun.inf内容在本机中存储在Death.SiShen文件中,内容为: [Autorun] OPEN=Death.exe shellexecute=Death.exe shell\\Auto\\command=Death.exe 网络行为: 1、连接网络下载病毒文件: 连接网络: www.nexn.cn(218.16.224.51:80) 下载病毒文件并自动运行: www.nexn.cn/new/01.exe www.nexn.cn/new/02.exe www.nexn.cn/new/03.exe www.nexn.cn/new/04.exe 注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。 Windows2000/NT中默认的安装路径是C:\\Winnt\\System32, windows95/98/me中默认的安装路径是C:\\Windows\\System, windowsXP中默认的安装路径是C:\\Windows\\System32。 %Temp% = C:\\Documents and Settings\\当前用户\\Local Settings\\Temp 当前用户TEMP缓存变量 %Windir%\\ WINDODWS所在目录 %DriveLetter%\\ 逻辑驱动器根目录 %ProgramFiles%\\ 系统程序默认安装目录 %HomeDrive% = C:\\ 当前启动的系统的所在分区 %Documents and Settings%\\ 当前用户文档根目录 三、 清除方案: 1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com 。 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool免费工具(安天安全管理工具),ATool下载地址:www.antiy.com或http://www.antiy.com/download/index.htm 。 (1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程 (2) 强行删除病毒文件 %HomeDrive%\\pass.dic 14,456 字节 %System32%\\death.exe 53,760 字节 %System32%\\Death.SiShen 81 字节 %System32%\\drivers\\etc\\hosts 2,680 字节 www.nexn.cn/new/01.exe www.nexn.cn/new/02.exe www.nexn.cn/new/03.exe www.nexn.cn/new/04.exe (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项 [HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run] 注册表值: " Death.exe" 类型: REG_SZ 值: " C:\\WINDOWS\\system32\\Death.exe" 描述: 添加启动项,以达到随机启动的目的 www.newjian.com |
| 随便看 |
|
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。