Worm.Win32.AutoRun.enw

病毒标签病毒名称： Worm.Win32.AutoRun.enw

病毒类型： 蠕虫类

文件 MD5： 95d052a6fdd3f92b42d571be0fe80892

公开范围： 完全公开

危害等级： 5

文件长度： 67,260 字节

感染系统： Windows98以上版本

开发工具： Borland Delphi 6.0 - 7.0

加壳类型： Upack V0.37-V0.39 -> Dwing [Overlay] *

病毒描述病毒的图标为一个文件夹用来诱骗用户点击运行，病毒运行后释放ASUS.exe、ACER.exe、MuTemp.exe、jxxgmw.exe、jxxgmw.nls到system32文件夹下，其中ASUS.exe、ACER.exe、MuTemp.exe是病毒的副本文件，在病毒运行时同时被运行，实现进程互锁。jxxgmw.exe和jxxgmw.nls是病毒文件的备份；病毒在各磁盘分区创建autorun.inf和病毒文件，用以达到用U盘等移动存储设备传播的目的；病毒运行后释放beep.sys文件，加载此文件，创建系统服务用来恢复系统的ssdt以此来关闭杀毒软件的主动防御；病毒修改、删除注册表项，使隐藏文件无法显示，并使用户无法更改文件夹选项。病毒添加注册表，添加自启动项，添加大量的映像劫持项，用来禁止系统工具如注册表编辑器、杀毒软和其他安全工具的运行；病毒连接网络更新自身；病毒运行后自删除。

行为分析本地行为

1、文件运行后会释放以下文件

%DriveLetter%ASUS.exe 67,260 字节

%DriveLetter%autorun.inf 145 字节

%HomeDrive%ASUS.exe 67,260 字节

%HomeDrive%autorun.inf 145 字节

%System32%ASUS.exe 67,260 字节

%System32%ACER.exe 67,260 字节

%System32%MuTemp.exe 67,260 字节

%System32%jxxgmw.exe 67,260 字节

%System32%jxxgmw.nls 67,260 字节

以下两个文件为系统文件UrlMon.dll，被病毒更改名称为：

%System32%musz1s.dll 594,432 字节

%System32%musz2s.dll 594,432 字节

2、进程互锁

病毒同时运行2个文件副本ASUS.exe和ACER.exe，当结束其中一个的时候，立即刷新另一个进程重新运行病毒副本，用剩下进程加载另一个文件，实现进程互锁。

3、病毒在各磁盘根目录下建立病毒文件ASUS.exe和autorun.inf文件,实现双击盘符时运行病毒，及移动存储设备传播的目的，autorun.inf内容如下：

[AutoRun]

shellopen=打开(&O)

shellopenCommand=ASUS.exe

shellopenDefault=1

shellexplore=资源管理器(&X)

shellexploreCommand=ASUS.exe

4、还原ssdt

病毒加载beep.sys文件用其还原系统ssdt使杀毒软件的主动防御失效，并将其添加到服务当中，是系统每次重新启动都会加载次驱动，实现杀毒软件的永久失效。

5、删除注册表项，破坏安全模式

[HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootMinimal

{4D36E967-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootMinimal

{4D36E967-E325-11CE-BFC1-08002BE10318}@]

键值: 字符串: "DiskDrive"

[HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootNetwork

{4D36E967-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootNetwork

{4D36E967-E325-11CE-BFC1-08002BE10318}@]

键值: 字符串: "DiskDrive"

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimal

{4D36E967-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimal

{4D36E967-E325-11CE-BFC1-08002BE10318}@]

键值: 字符串: "DiskDrive"

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetwork

{4D36E967-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetwork

{4D36E967-E325-11CE-BFC1-08002BE10318}@]

键值: 字符串: "DiskDrive"

6、通过修改注册表隐藏文件

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced.

FolderHiddenSHOWALLCheckedValue]

键值: DWORD: 1 (0x1)

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedShowSuperHidden]

新: DWORD: 0 (0)

旧: DWORD: 1 (0x1)

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHiddenType]

新: 字符串: "checkbox2"

旧: 字符串: "checkbox"

7、添加启动项

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer

un]

键值: ACER.exe

字符串: "C:WINDOWSsystem32ACER.exe"

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer

un]

键值: ASUS.exe

字符串: "C:WINDOWSsystem32ASUS.exe"

[HKLMSystemCurrentControlSetServices]

项：RESSDT

符串：c:windowssystem32driverseep.sys

8、映像劫持

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options360rpt.exe]

注册表值: "Debugger"

类型： REG_SZ

值： "ntsd -d"

同时劫持的字串有：

360rpt.exe

360Safe.exe

360safebox.exe

360tray.exe

adam.exe

AgentSvr.exe

AntiU.exe

AoYun.exe

appdllman.exe

AppSvc32.exe

ArSwp.exe

AST.exe

auto.exe

AutoRun.exe

autoruns.exe

av.exe

AvastU3.exe

avconsol.exe

avgrssvc.exe

AvMonitor.exe

avp.com

avp.exe

AvU3Launcher.exe

CCenter.exe

ccSvcHst.exe

Cleanup.dll

cqw32.exe

cross.exe

Discovery.exe

divx.dll

divxdec.ax

DJSMAR00.dll

DRMINST.dll

EGHOST.exe

EncodeDivXExt.dll

EncryptPatchVer.dll

FileDsty.exe

FTCleanerShell.exe

fullsoft.dll

FYFireWall.exe

GBROWSER.DLL

ghost.exe

guangd.exe

HijackThis.exe

htmlmarq.ocx

htmlmm.ocx

IceSword.exe

iparmo.exe

Iparmor.exe

irsetup.exe

ishscan.dll

isPwdSvc.exe

ISSTE.dll

javai.dll

jvm_g.dll

kabaload.exe

KaScrScn.SCR

KASMain.exe

KASTask.exe

KAV32.exe

KAVDX.exe

KAVPF.exe

KAVPFW.exe

KAVSetup.exe

KAVStart.exe

kernelwind32.exe

KISLnchr.exe

kissvc.exe

KMailMon.exe

KMFilter.exe

KPFW32.exe

KPFW32X.exe

KPfwSvc.exe

KRegEx.exe

KRepair.com

KsLoader.exe

KVCenter.kxp

KvDetect.exe

KvfwMcl.exe

KVMonXP.kxp

KVMonXP_1.kxp

kvol.exe

kvolself.exe

KvReport.kxp

KVScan.kxp

KVSrvXP.exe

KVStub.kxp

kvupload.exe

kvwsc.exe

KvXP.kxp

KvXP_1.kxp

KWatch.exe

KWatch9x.exe

等，其中包括系统工具、各杀毒软件和安全工具。

网络行为

病毒连接网络，更新自身

连接地址：60.190.253.***

病毒运行后向远程计算机60.190.253.***发送请求，要求更新病毒程序，当对比发现本地病毒版本较低时，从远程计算机下载新版本病毒。

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32，windows95/98/me中默认的安装路径是C:WindowsSystem，windowsXP中默认的安装路径是C:WindowsSystem32。

%Temp% = C:Documents and SettingsAAAAALocal SettingsTemp 当前用户TEMP缓存变量

%Windir% WINDODWS所在目录

%DriveLetter% 逻辑驱动器根目录

%ProgramFiles% 系统程序默认安装目录

%HomeDrive% = C: 当前启动的系统的所在分区

%Documents and Settings% 当前用户文档根目录

清除方案1、使用安天防线可彻底清除此病毒(推荐)。

(1)使用ATOOL结束病毒进程ASUS.exe，ACER.exe。（注意：由于进程互锁的原因，要一起结束所有运行的病毒进程。）

(2) 删除病毒文件

%DriveLetter%ASUS.exe 67,260 字节

%DriveLetter%autorun.inf 145 字节

%HomeDrive%ASUS.exe 67,260 字节

%HomeDrive%autorun.inf 145 字节

%System32%ASUS.exe 67,260 字节

%System32%ACER.exe 67,260 字节

%System32%MuTemp.exe 67,260 字节

%System32%jxxgmw.exe 67,260 字节

%System32%jxxgmw.nls 67,260 字节

%System32%musz1s.dll 594,432 字节

%System32%musz2s.dll 594,432 字节

(3) 从其他XP系统的机器上拷贝文件UrlMon.dll放到%System32%目录下。

(4) 恢复注册表

1.用注册表工具删除以下注册表项

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer

un]

键值: ACER.exe

字符串: "C:WINDOWSsystem32ACER.exe"

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer

un]

键值: ASUS.exe

字符串: "C:WINDOWSsystem32ASUS.exe"

[HKLMSystemCurrentControlSetServices]

项：RESSDT

符串：c:windowssystem32driverseep.sys

2.将一下项目导入到注册表中：

[HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootMinimal

{4D36E967-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootMinimal

{4D 36E967-E325-11CE-BFC1-08002BE10318}@]

键值: 字符串: "DiskDrive"

[HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootNetwork

{4D36E967-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootNetwork

{4D36E967-E325-11CE-BFC1-08002BE10318}@]

键值: 字符串: "DiskDrive"

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimal

{4D36E967-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimal

{4D36E967-E325-11CE-BFC1-08002BE10318}@]

键值: 字符串: "DiskDrive"

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetwork

{4D36E967-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetwork

{4D36E967-E325-11CE-BFC1-08002BE10318}@]

键值: 字符串: "DiskDrive"

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolder

HiddenSHOWALLCheckedValue]

键值: DWORD: 1 (0x1)

3.将一下键值改回原键值：

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedShowSuperHidden]

新: DWORD: 0 (0)

旧: DWORD: 1 (0x1)

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHiddenType]

新: 字符串: "checkbox2"

旧: 字符串: "checkbox"

• ·周兴梁
• ·建筑电气工程施工质量验收规范
• ·溃退
• ·工程文献
• ·国际视角的中国资本账户开放
• ·湿法冶金分离工程
• ·金盏郁金香花园
• ·亨利·梅特兰·威尔逊
• ·新编中国通史
• ·我的大学没恋爱