病毒标签

病毒名称： Worm.Win32.AutoRun.doc

病毒类型：蠕虫

文件 MD5： 476F8BA41F54238BA132DEC7B6C0B183

公开范围：完全公开

危害等级： 4

文件长度： 9,032 字节

感染系统： Windir98以上版本

开发工具： Microsoft Visual C++ 6.0

加壳类型： WinUpack 0.39 final -> By Dwing

病毒描述

该病毒属蠕虫类，判断自己是否是在系统盘下的MSDOS.bat,如果是则将系统盘目录打开,创建目录%Windir%\\Tasks，将自身复制到该目录下，判断“%Windir%\\Tasks”目录下是否存在0x01xx8p.exe文件，如存在则将其删除，判断当前进程是否存在“avp.exe”，如找到则将系统时间修改为2004年1月1日，复制自身到%HomeDrive%\\spoolsv.exe,%Windir%\\Tasks\\spoolsv.ext ,%Windir%\\Tasks\\SysFile.brk,并删除自身文件.感染explorer.exe,先在%Windir%\\tasks\\释放被感染的explorer.ext然后再保存到%Windir%\\explorer.exe，将要感染的病毒代码赋值到缓存,将被感染文件的最后一个节改名为.WYCao,注入被感染代码和自身病毒体,感染成功后替换原文件，遍历进程判断是否存在如下进程, avp.exe, kvsrvxp.exe，kissvc.exe，如果存在的话则强制结束.感染xml/cgi/jsp/php/aspx/asp/shtml/shtm/html/htm文件，删除磁盘现有的所有.gho文件。感染系统目录以外的scr/com/cmd/bat/exe.文件，遍历固定磁盘和可移动磁盘，在各个分区根目录下创建隐藏的系统属性文件autorun.inf和MSDOS.BAT.利用autorun.inf文件特性,使用户双击盘符就会自动运行病毒，隐藏开启IExplore.exe进程连接网络下载大量病毒文件，经分析下载的大量病毒文件多为盗号木马，使用户的网络虚拟财产遭受损失。

行为分析

本地行为：

1、释放病毒文件到以下目录：

%Windir%\\Tasks\\0x01xx8p.exe 9,032 字节

%Windir%\\Tasks\\spoolsv.ext

%Windir%\\Tasks\\SysFile.brk 57,856 字节

2、判断自己是否是在系统盘下的MSDOS.bat,如果是的话会将系统盘目录打开,创建目录%Windir%\\Tasks，将自身复制到该目录下，判断“%Windir%\\Tasks”目录下是否存在0x01xx8p.exe文件，如存在则将其删除，判断当然进程是否存在“avp.exe”，如找到则将系统时间修改为2004年1月1日。

3、感染explorer.exe,先在%Windir%\\tasks\\释放被感染的explorer.ext 然后再保存到%Windir%\\explorer.exe，将要感染的病毒代码赋值到缓存,将被感染文件的最后一个节改名为.WYCao,注入被感染代码和自身病毒体,感染成功后替换原文件。

4、遍历进程判断是否存在如下进程, avp.exe, kvsrvxp.exe, kissvc.exe,如果存在的话则强制结束.感染xml/cgi/jsp/php/aspx/asp/shtml/shtm/html/htm文件，删除磁盘现有的所有.gho文件。感染系统目录以外的scr/com/cmd/bat/exe.文件。

5、在各个分区根目录下创建隐藏的系统属性文件autorun.inf和MSDOS.BAT.利用autorun.inf文件特性,使用户双击盘符就会自动运行病毒,隐藏开启IExplore.exe进程连接http://444.e***.com/config.txt下载大量病毒文件。

网络行为:

协议：TCP

端口：80

连接服务器名：http://444.e***.com/config.txt

IP地址：59.53.88.***

描述：连接服务器读取TXT列表内容下载病毒，读取的列表内容：

Random:

6287

Down:

http://444.kuk****.com/0/0.exe*

http://444.kuk****.com/0/1.exe*

http://444.kuk****.com/0/2.exe*

http://444.kuk****.com/0/3.exe*

http://444.kuk****.com/0/4.exe*

http://444.kuk****.com/0/5.exe*

http://444.kuk****.com/0/6.exe*

http://www.kuk****.com/0/7.exe*

http://444.kuk****.com/0/8.exe*

http://444.kuk****.com/0/9.exe*

http://444.kuk****.com/0/10.exe*

http://444.kuk****.com/0/11.exe*

http://444.kuk****.com/0/12.exe*

http://444.kuk****.com/0/13.exe*

FlipWEB:

*

SendGet:

*

InfeWeb:

*

NetBiosInfe:

1*

HDInfe:

0*

InfeExe:

0*

RemovInfe:

1*

RemovableDrive:

1*

FixedDrive:

1*

ReadTime:

50*

OpenSys:

1*

注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的位置。

%Windir% WINDODWS所在目录

%DriveLetter%　逻辑驱动器根目录

%ProgramFiles%　系统程序默认安装目录

%HomeDrive% 当前启动的系统的所在分区

%Documents and Settings% 当前用户文档根目录

%Temp% \\Documents and Settings\\当前用户\\Local Settings\\Temp

%System32% 系统的 System32文件夹

Windows2000/NT中默认的安装路径是C:\\Winnt\\System32

windows95/98/me中默认的安装路径是C:\\Windows\\System

windowsXP中默认的安装路径是C:\\Windows\\System32

清除方案

1、使用安天防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1)使用ATOOL进程管理结束explorer.exe进程。

复制%system32%\\dllcache目录下的explorer.exe文件替换%Windir%目录下的explorer.exe文件。

(2)强行删除病毒衍生的病毒文件：

%Windir%\\Tasks\\0x01xx8p.exe

%Windir%\\Tasks\\spoolsv.ext

%Windir%\\Tasks\\SysFile.brk

%HomeDrive%\\MSDOS.bat

%HomeDrive%\\autorun.inf

%DriveLetter%\\MSDOS.bat

%DriveLetter%\\autorun.inf

(3)强行删除病毒衍生的病毒文件（注：该病毒下载的病毒列表可能会随时变化）

%system32%\\config\\mscg13.exe

%system32%\\drivers\\2h9k6qwl.sys

%system32%\\drivers\\bs2pmzbdm.sys

%system32%\\fo18.dll

%system32%\\2.ext

%system32%\\inf\\mscg13.exe

%system32%\\3.ext

%system32%\\ThunderBHONew14.dll

%system32%\\4.ext

%system32%\\2ba.dll

%system32%\\b79a.dll

%system32%\\79e7a.exe

%WINDIR\\MayaGirl\\MayaGirlMain.exe

%WINDIR\\033.exe

%WINDIR\\f9a.bmp

%WINDIR\\91ba.exe

%WINDIR\\1b60a.txt