Worm.Win32.AutoRun.ogu分析报告

1网络蠕虫Worm.Win32.AutoRun.ogu网络蠕虫Worm.Win32.AutoRun.ogu捕获时间2009-7-7危害等级2病毒症状该样本是使用“VC”编写的网络蠕虫病毒，由微点主动防御软件自动捕获，该病毒采用“WinUpack”加壳方式，企图躲避特征码扫描，加壳后长度为“28,672字节”，图标为“”，病毒扩展名为“exe”，主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播，病毒主要目的为从网络下载大量病毒并运行。用户中毒后，会出现大多数杀毒软件失效或无故被关闭，操作系统自带部分工具无法使用，网络速度变缓，windows系统无故报错等现象。感染对象Windows2000/WindowsXP/Windows2003传播途径网页木马、文件捆绑、下载器下载防范措施已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”，请直接选择删除处理（如图1）；图1微点主动防御软件自动捕获未知病毒（未升级）如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现Worm.Win32.AutoRun.ogu”，请直接选择删除（如图2）。图2微点主动防御软件升级后截获已知病毒未安装微点主动防御软件的手动解决办法：1、手工删除以下文件:%SystemRoot%\Fonts\isb.ini%TEMP%\dll4.tmpX:\GRIL.PIFX:\AUTORUN.INF(X为任意盘符)2、手动删除以下注册表值：键:HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\[所有劫持]键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lubb键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lvbasb键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nsppv3、手动修复以下注册表键值：键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\hidden\showall值:CheckedValue数据:14、修复安全模式相关注册表变量声明：%SystemDriver%系统所在分区，通常为“C:\”%SystemRoot%WINDODWS所在目录，通常为“C:\Windows”%DocumentsandSettings%用户文档目录，通常为“C:\DocumentsandSettings”%Temp%临时文件夹，通常为“C:\DocumentsandSettings\当前用户名称\LocalSettings\Temp”%ProgramFiles%系统程序默认安装目录，通常为：“C:\ProgramFiles”病毒分析（1）设置自身为隐藏，获取AUTORUN.INF文件状态信息，如果找到则运行病毒，如果没有找到，则在下次启动后删除自身。（2）创建qq935623508互斥体，防止二次运行。提升自身权限，获得当前进程列表，查找是否有ekrn.exe和nod32krn.exe进程，如果找到，删除相关服务，结束相关进程（3）在%SystemDriver%目录下创建名为lov.dll的动态链接库文件，并设置自身为隐藏。（4）再次获取当前进程列表，查找是否有CCenter.exe进程，如果有，在%SystemRoot%\Fonts\目录下释放一个名为bssa.VBS的脚本文件，执行该脚本文件来加载动态链接库，如果没有发现CCenter.exe进程，则调用RUNDLL32.EXE来加载动态链接库，动态库会结束大量安全软件进程和删除相关安全软件服务。（5）创建新线程，释放名为dll4.tmp（文件名数字部分随机生成）的动态链接库文件到%TEMP%\目录下并加载，加载之后，病毒将网址的信息保存名为isb.ini的配置文件到%SystemRoot%\Fonts\目录下，并读取该配置文件信息从网络上下载大量新病毒。（6）病毒利用镜像劫持，使大多数反病毒软件无法运行，通过修改注册表相关键值，使显示隐藏文件功能失效，使用户无法进入安全模式、使常用杀毒软件无法开机自启动。（7）删除%SystemDriver%\lov.dll文件，创建一个新线程，该线程用来查找%SystemRoot%\System32\dllcache\linkinfo.dll文件是否存在，如果不存在，复制%SystemRoot%\System32\linkinfo.dll到%SystemRoot%\System32\dllcache\linkinfo.dll。（8）创建新线程，该线程用来查找当前进程列表中是否有360tray.exe进程，如果有该进程，将在%SystemRoot%\System32\下释放一个名为lubb.fon的驱动文件，并创建服务并启动，用来结束360tray.exe进程，然后病毒删除%SystemRoot%\System32\lubb.fon（9）创建新线程，通过创建注册表键值对卡巴斯基进程avp.exe进行镜像劫持，使其无法运行。（10）创建新进程，遍历当前各个磁盘，写GRIL.PIF和AUTORUN.INF文件。病毒创建文件：%SystemDriver%\lov.dll%SystemRoot%\Fonts\bssa.VBS%SystemRoot%\Fonts\isb.ini%TEMP%\dll4.tmp%SystemRoot%\System32\lubb.fon%SystemDriver%\fonts\lvbasb.sys%SystemDriver%\fonts\nsppv.sysX:\GRIL.PIFX:\AUTORUN.INF(X为任意盘符)病毒修改文件：%SystemRoot%\System32\linkinfo.dll病毒删除文件：%SystemDriver%\lov.dll%SystemRoot%\Fonts\bssa.VBS%SystemRoot%\System32\lubb.fon%SystemDriver%\fonts\lvbasb.sys%SystemDriver%\fonts\nsppv.sys病毒创建注册表：HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\[镜像劫持]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lubbHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lvbasbHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nsppv病毒修改注册表：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\hidden\showall\CheckedValue病毒删除注册表：HEKY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nod32krnHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run值:360Safetray360SafeboxKavStartvptrayccAppRavTrayeguiessact病毒访问网络：http://*****.ch.ma/dd.txthttp://***.**.cx/bb/1.exehttp://***.xl.cx/bb/2.exehttp://***.xl.cx/bb/7.exehttp://***.xl.cx/bb/88.exehttp://***.xl.cx/bb/9.exe