病毒分析Worm.Win32.AutoRun.apj追踪
上一篇 /
下一篇 2007-12-27 09:07:11
IXPUB技术博客�~�c'^�a'R网络中的病毒是一天比一天多,虽然众多病毒的制造者不同,但都是依据网络或第三方存储设备进行传播,更有甚至是利用即时通讯软件进行感染式挟带,以达让更多的用户成为受害者,从而实现下毒者的阴谋目的。
C'J3U�@8n�b q7590422IXPUB技术博客5Y�]!w�S�s�j感染行为IXPUB技术博客�O�I:y�[0Z
最近网络中流行的Worm.Win32.AutoRun.apj病毒属于典型的蠕虫类病毒,其主要依靠第三方存储设备进行传播,如:U盘、MP3、MP4、硬盘存储卡、移动硬盘等。一但被感染存储设备与计算机对接后,那么其中所挟带的该病毒将自动运行,并释放副本到用户的计算机windows文件夹的fonts目录下,随后在目录%DriverLetter%下生成ntldr.exe 文件,字节数为19,124字节;autorun.inf文件,字节数为85字节,以达用户双击后自运行的目的。最后将在系统目录 %Windir%\Fonts\system下生存ati2evxx.exe可执行文件,字节数为19,124字节 。
3P�M1d8U0q�G�g�K7590422IXPUB技术博客�z�y�c�O3J4O$v6j映像劫持
�V�L2x�H�K3O�U1M7590422随后添加注册表项目以达自启动的目的,内容如下:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run] ,注册表键值:"TBMonEX" ,类型为REG_SZ,其字符串为:"%Windir%\Fonts\system\ati2evxx.exe" 。当然依照病毒惯例,在注册表中动手脚对安全软件进行映像劫持。其安全软件如下:360rpt.exe、360Safe.exe、360tray.exe、ACKWIN32.EXE、ANTI-TROJAN.EXE、APVXDWIN.EXE、AUTODOWN.EXE、AVCONSOL.EXE、AVE32.EXE、AVGCTRL.EXE、AVKSERV.EXE、 AVNT.EXE、AVP.EXE、AVP32.EXE、AVPCC.EXE、AVPDOS32.EXE、AVPM.EXE、AVPTC32.EXE、AVPUPD.EXE、 AVSCHED32.EXE、AVWIN95.EXE、AVWUPD32.EXE、BLACKD.EXE、 BLACKICE.EXE、CFIADMIN.EXE、CFIAUDIT.EXE、CFINET.EXE、CFINET32.EXE、CLAW95.EXE、CLAW95CF.EXE、CLEANER.EXE、 CLEANER3.EXE、DVP95.EXE、DVP95_0.EXE、ECENGINE.EXE、 EGHOST.EXE、ESAFE.EXE、EXPWATCH.EXE、F-AGNT95.EXE、FESCUE.EXE、FINDVIRU.EXE、FPROT.EXE、F-PROT.EXE、F-PROT95.EXE、FP-WIN.EXE、FRW.EXE、F-STOPW.EXE、IAMAPP.EXE、IAMSERV.EXE、IBMASN.EXE、IBMAVSP.EXE、 ICLOAD95.EXE、ICLOADNT.EXE、ICMON.EXE、ICSUPP95.EXE、ICSUPPNT.EXE、IFACE.EXE、IOMON98.EXE、Iparmor.exe、 JEDI.EXE、KAV32.exe、KAVPFW.EXE、KAVsvc.exe、 KAVSvcUI.exe、KVFW.EXE、KVMonXP.exe、KVMonXP.kxp、KVSrvXP.exe、KVwsc.exe、KvXP.kxp、KWatchUI.EXE、LOCKDOWN2000.EXE、Logo_1.exe、Logo1_.exe、LOOKOUT.EXE、 LUALL.EXE、MAILMON.EXE、MOOLIVE.EXE、MPFTRAY.EXE、VSSTAT.EXE、WEBSCANX.EXE、WFINDV32.EXE、ZONEALARM.EXE、修复工具.exe、 SWEEP95.EXE、TBSCAN.EXE、TCA.EXE、TDS2-98.EXE等。
�r�}
^;e g�L8i
G�X�y7590422IXPUB技术博客7s)c/K�l'x$n.o网络行为IXPUB技术博客+Y!h�}1c�s
当病毒驻扎后开始遍历硬盘中的EXE可执行文件(系统文件夹EXE可执行文件除外),并在exe文件的尾部添加名为.ani一个节,达到改变文件大小的目的, 最后连接到互联网网址c.8**.us(59.60.155.**) 、a.8**.us(58.53.128.**) 、e.8**.us(218.75.159.***)、f.8**.us(59.60.157.**) 等,从中下载各种病毒木马到计算机的临时文件夹(TEMP)中,其病毒如下: 00001[1].exe(Trojan.Win32.Vaklik.bx); 00002[1].exe (Trojan-PSW.Win32.OnLineGames.lnx );00003[1].exe (Trojan-PSW.Win32.OnLineGames.lmz);00004[1].exe (Trojan-PSW.Win32.OnLineGames.lqb);00005[1].exe (Trojan-PSW.Win32.OnLineGames.llm );00006[1].exe (Trojan-PSW.Win32.OnLineGames.llj);00007[1].exe (Trojan-PSW.Win32.OnLineGames.lpt);00008[1].exe (Trojan-PSW.Win32.OnLineGames.lqz);00009[1].exe (Trojan-PSW.Win32.OnLineGames.lrf);00010[1].exe (Trojan-PSW.Win32.OnLineGames.lmz );host[1].exe (Trojan.Win32.Qhost.aaf); wdlm[1].exe (Trojan-Downloader.Win32.Small.gwi );soundma[1].exe (Trojan.Win32.Agent.diq);lmmy[1].exe (Trojan-PSW.Win32.OnLineGames.kaw);lmmh[1].exe (Trojan.Win32.Small.uj)等。该病毒清除较难,属于危害等级较高的病毒。
L'?0W�k�F�}7590422IXPUB技术博客
I�[�_�]�y清除方案:IXPUB技术博客6K�f!f�E&F.M2_ `
普通用户可使用安天木马防线清除此病毒,有手工清除经验的朋友可以对照下列方法进行尝试清除。首先进入目录%DriverLetter%下删除ntldr.exe文件,删除%Windir%\Fonts\system下的ati2evxx.exe ,并一一删除%Temporary Internet Files%下的00001[1].exe 、00002[1].exe 、00003[1].exe 、00004[1].exe 、00005[1].exe、00006[1].exe、00007[1].exe、00008[1].exe、00009[1].exe 、00010[1].exe 、00011[1].exe、 00012[1].exe、00013[1].exe 、00015[1].exe、00016[1].exe、00017[1].exe、00023[1].exe、host[1].exe、wdlm[1].exe、soundma[1].exe、lmmy[1].exe、lmmh[1].exe。随后删除病毒添加的注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 分支下的"TBMonEX"键值 ,字符串为"%Windir%\Fonts\system\ati2evxx.exe" ,以达恢复被病毒修改的注册表项目。IXPUB技术博客 F7F9d�s7E�e�[�g
IXPUB技术博客*R�W�a
P q2Q"\%a�~�D
编者按:由于该病毒自行从互联网中下载的病毒程序较多,这里建议用户在浏览网站或打开第三方存储设备时一定要提高警惕。有条件的用户可以使用[影子系统]进入正常的单盘防护方式进入互联网或打开存储盘,尽可能避免被病毒木马的骚扰危害。
'L�t'?5I7?�q7590422
导入论坛
引用链接
收藏
分享给好友
推荐到圈子
管理
举报
TAG:
