- 左迁
-
* 回复内容中包含的链接未经审核,可能存在风险,暂不予完整展示!Worm.Win32.AutoRun 病毒标签
病毒名称: Worm.Win32.AutoRun.doc
病毒类型:蠕虫
文件 MD5: 476F8BA41F54238BA132DEC7B6C0B183
公开范围:完全公开
危害等级: 4
文件长度: 9,032 字节
感染系统: Windir98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: WinUpack 0.39 final -> By Dwing
病毒描述
该病毒属蠕虫类,判断自己是否是在系统盘下的MSDOS.bat,如果是则将系统盘目录打开,创建目录%Windir%Tasks,将自身复制到该目录下,判断“%Windir%Tasks”目录下是否存在0x01xx8p.exe文件,如存在则将其删除,判断当前进程是否存在“avp.exe”,如找到则将系统时间修改为2004年1月1日,复制自身到%HomeDrive%spoolsv.exe,%Windir%Tasksspoolsv.ext ,%Windir%TasksSysFile.brk,并删除自身文件.感染explorer.exe,先在%Windir% asks释放被感染的explorer.ext然后再保存到%Windir%explorer.exe,将要感染的病毒代码赋值到缓存,将被感染文件的最后一个节改名为.WYCao,注入被感染代码和自身病毒体,感染成功后替换原文件,遍历进程判断是否存在如下进程, avp.exe, kvsrvxp.exe,kissvc.exe,如果存在的话则强制结束.感染xml/cgi/jsp/php/aspx/asp/shtml/shtm/html/htm文件,删除磁盘现有的所有.gho文件。感染系统目录以外的scr/com/cmd/bat/exe.文件,遍历固定磁盘和可移动磁盘,在各个分区根目录下创建隐藏的系统属性文件autorun.inf和MSDOS.BAT.利用autorun.inf文件特性,使用户双击盘符就会自动运行病毒,隐藏开启IExplore.exe进程连接网络下载大量病毒文件,经分析下载的大量病毒文件多为盗号木马,使用户的网络虚拟财产遭受损失。
行为分析
本地行为:
1、释放病毒文件到以下目录:
%Windir%Tasks x01xx8p.exe 9,032 字节
%Windir%Tasksspoolsv.ext
%Windir%TasksSysFile.brk 57,856 字节
2、判断自己是否是在系统盘下的MSDOS.bat,如果是的话会将系统盘目录打开,创建目录%Windir%Tasks,将自身复制到该目录下,判断“%Windir%Tasks”目录下是否存在0x01xx8p.exe文件,如存在则将其删除,判断当然进程是否存在“avp.exe”,如找到则将系统时间修改为2004年1月1日。
3、感染explorer.exe,先在%Windir% asks释放被感染的explorer.ext 然后再保存到%Windir%explorer.exe,将要感染的病毒代码赋值到缓存,将被感染文件的最后一个节改名为.WYCao,注入被感染代码和自身病毒体,感染成功后替换原文件。
4、遍历进程判断是否存在如下进程, avp.exe, kvsrvxp.exe, kissvc.exe,如果存在的话则强制结束.感染xml/cgi/jsp/php/aspx/asp/shtml/shtm/html/htm文件,删除磁盘现有的所有.gho文件。感染系统目录以外的scr/com/cmd/bat/exe.文件。
5、在各个分区根目录下创建隐藏的系统属性文件autorun.inf和MSDOS.BAT.利用autorun.inf文件特性,使用户双击盘符就会自动运行病毒,隐藏开启IExplore.exe进程连接http://444.e***.com/config.txt下载大量病毒文件。
网络行为:
协议:TCP
端口:80
连接服务器名:http://444.e***.com/config.txt
IP地址:59.53.88.***
描述:连接服务器读取TXT列表内容下载病毒,读取的列表内容:
Random:
6287
Down:
http://444.kuk****.com/0/0.exe*
http://444.kuk****.com/0/1.exe*
http://444.kuk****.com/0/2.exe*
http://444.kuk****.com/0/3.exe*
http://444.kuk****.com/0/4.exe*
http://444.kuk****.com/0/5.exe*
http://444.kuk****.com/0/6.exe*
http://www.kuk****.com/0/7.exe*
http://444.kuk****.com/0/8.exe*
http://444.kuk****.com/0/9.exe*
http://444.kuk****.com/0/10.exe*
http://444.kuk****.com/0/11.exe*
http://444.kuk****.com/0/12.exe*
http://444.kuk****.com/0/13.exe*
FlipWEB:
*
SendGet:
*
InfeWeb:
*
NetBiosInfe:
1*
HDInfe:
0*
InfeExe:
0*
RemovInfe:
1*
RemovableDrive:
1*
FixedDrive:
1*
ReadTime:
50*
OpenSys:
1*
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% Documents and Settings当前用户Local SettingsTemp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:WinntSystem32
windows95/98/me中默认的安装路径是C:WindowsSystem
windowsXP中默认的安装路径是C:WindowsSystem32
清除方案
1、使用安天防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用ATOOL进程管理结束explorer.exe进程。
复制%system32%dllcache目录下的explorer.exe文件替换%Windir%目录下的explorer.exe文件。
(2)强行删除病毒衍生的病毒文件:
%Windir%Tasks x01xx8p.exe
%Windir%Tasksspoolsv.ext
%Windir%TasksSysFile.brk
%HomeDrive%MSDOS.bat
%HomeDrive%autorun.inf
%DriveLetter%MSDOS.bat
%DriveLetter%autorun.inf
(3)强行删除病毒衍生的病毒文件(注:该病毒下载的病毒列表可能会随时变化)
%system32%configmscg13.exe
%system32%drivers2h9k6qwl.sys
%system32%driverss2pmzbdm.sys
%system32%fo18.dll
%system32%2.ext
%system32%infmscg13.exe
%system32%3.ext
%system32%ThunderBHONew14.dll
%system32%4.ext
%system32%2ba.dll
%system32%79a.dll
%system32%79e7a.exe
%WINDIRMayaGirlMayaGirlMain.exe
%WINDIR 33.exe
%WINDIRf9a.bmp
%WINDIR91ba.exe
%WINDIR1b60a.txt
- 黑桃云
-
从你说可以知道二个是蠕虫病毒还有一个可能是特洛伊木马!不能确定是不是他盗了你的号,但可以肯定它可以盗号!
- 真可
-
蠕虫病毒
蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件) 等
一般格式为:<病毒前缀>.<病毒名>.<病毒后缀>
- 阿啵呲嘚
-
卡巴斯基的防御弱了,你的帐号都被盗了才发现,应该把帐号放入保险柜啊