Virus.Win32.AutoRun.y
一、 病毒标签:
病毒名称: Virus.Win32.AutoRun.y
病毒类型: 病毒
文件 MD5: 92EC82B55CF7D5878B29A837BCD609CC
公开范围: 完全公开
危害等级: 4
文件长度: 53,760 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.22
二、 病毒描述:
病毒运行后复制自身到系统目录,并重命名为death.exe ,衍生病毒文件。 修改注册表,添加启动项,以达到随机启动的目的。该病毒利用U盘等移动存储介质进行传播,还可通过弱口令扫描其它机器传播自身。通过修改hosts文件使用户无法打开常见杀毒软件网站。主动连接网络,下载相关病毒文件信息。
三、 行为分析:
本地行为:
1、文件运行后会释放以下文件
%HomeDrive%pass.dic 14,456 字节
%System32%death.exe 53,760 字节
%System32%Death.SiShen 81 字节
%System32%driversetchosts 2,680 字节
2、新增注册表
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
注册表值: " Death.exe"
类型: REG_SZ
值: " C:WINDOWSsystem32Death.exe"
描述: 添加启动项,以达到随机启动的目的
3、修改hosts文件,以使kaspersky、江民、瑞星的网站信息无法显示:
127.0.0.1 localhost
188.188.122.33 localhost
dnl-us1.kaspersky-labs.com localhost
dnl-us2.kaspersky-labs.com localhost
dnl-us3.kaspersky-labs.com localhost
dnl-us4.kaspersky-labs.com localhost
dnl-us5.kaspersky-labs.com localhost
dnl-us6.kaspersky-labs.com localhost
dnl-us7.kaspersky-labs.com localhost
dnl-us8.kaspersky-labs.com localhost
dnl-us9.kaspersky-labs.com localhost
dnl-us10.kaspersky-labs.com localhost
dnl-us11.kaspersky-labs.com localhost
dnl-us12.kaspersky-labs.com localhost
dnl-us13.kaspersky-labs.com localhost
dnl-us14.kaspersky-labs.com localhost
dnl-us15.kaspersky-labs.com localhost
dnl-us16.kaspersky-labs.com localhost
dnl-us17.kaspersky-labs.com localhost
dnl-us18.kaspersky-labs.com localhost
dnl-us19.kaspersky-labs.com localhost
dnl-us20.kaspersky-labs.com localhost
update.jiangmin.info localhost
update1.jiangmin.info localhost
update2.jiangmin.info localhost
update3.jiangmin.info localhost
update4.jiangmin.info localhost
update5.jiangmin.info localhost
update6.jiangmin.info localhost
update7.jiangmin.info localhost
update8.jiangmin.info localhost
update9.jiangmin.info localhost
update10.jiangmin.info localhost
update.jiangmin.com localhost
update1.jiangmin.com localhost
update2.jiangmin.com localhost
update3.jiangmin.com localhost
update4.jiangmin.com localhost
update5.jiangmin.com localhost
update6.jiangmin.com localhost
update7.jiangmin.com localhost
update8.jiangmin.com localhost
update9.jiangmin.com localhost
update10.jiangmin.com localhost
edu.jiangmin.com localhost
edu1.jiangmin.com localhost
edu2.jiangmin.com localhost
edu3.jiangmin.com localhost
rsdownauto.rising.com.cn localhost
4、弱口令猜测 www.newjian.com
通过弱口令扫描其它机器,传播自身;弱口令表存储在 pass.dic文件内。
5、利用U盘等移动存储介质进行传播。当移动存储介质与电脑连接后则自动写入Autorun.inf文件与对应执行文件Death.exe,即病毒副本。Autorun.inf内容在本机中存储在Death.SiShen文件中,内容为:
[Autorun]
OPEN=Death.exe
shellexecute=Death.exe
shellAutocommand=Death.exe
网络行为:
1、连接网络下载病毒文件:
连接网络:
www.nexn.cn(218.16.224.51:80)
下载病毒文件并自动运行:
www.nexn.cn/new/01.exe
www.nexn.cn/new/02.exe
www.nexn.cn/new/03.exe
www.nexn.cn/new/04.exe
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
Windows2000/NT中默认的安装路径是C:WinntSystem32,
windows95/98/me中默认的安装路径是C:WindowsSystem,
windowsXP中默认的安装路径是C:WindowsSystem32。
%Temp% = C:Documents and Settings当前用户Local SettingsTemp 当前用户TEMP缓存变量
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% = C: 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com 。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool免费工具(安天安全管理工具),ATool下载地址:www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程
(2) 强行删除病毒文件
%HomeDrive%pass.dic 14,456 字节
%System32%death.exe 53,760 字节
%System32%Death.SiShen 81 字节
%System32%driversetchosts 2,680 字节
www.nexn.cn/new/01.exe
www.nexn.cn/new/02.exe
www.nexn.cn/new/03.exe
www.nexn.cn/new/04.exe
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
注册表值: " Death.exe"
类型: REG_SZ
值: " C:WINDOWSsystem32Death.exe"
描述: 添加启动项,以达到随机启动的目的
www.newjian.com