首 页  |  微点新闻  |  业界动态  |  安全资讯  |  安全快报  |  产品信息  |  网络版首页
通行证  |  客服?#34892;?/a>  |  微点社区  |  微点邮局  |  常见问题  |  在线订购  |  各地代理商
 

蠕虫程序Worm.Win32.AutoRun.tpz

蠕虫程序

Worm.Win32.AutoRun.tpz

捕获时间

2010-12-23

危害等级



病毒症状

  该样本是使用“C/C ”编写的木马程序,由微点主动防御软件自动捕获,长?#20219;?ldquo;30,720”字节,图标为“”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播,病毒主要目的是利用可移动磁盘传播自身,设立后门,使用户电脑沦为傀儡主机。
  用户中毒后,会出现系统运行缓慢、存在大量未知可疑进程、系统重要资料丢失、网络阻塞等现象。

感染对象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

传播途径

文件捆绑、网页挂马、下载器下载

防?#27934;?#26045;

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知间谍”,请直接选择删除处理(如图1)

 

图1 微点主动防御软件自动捕获未知病毒(未升级)



如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现木马"Worm.Win32.AutoRun.tpz”,请直接选择删除(如图2)。

 

图2   微点主动防御软件升级后截获已知病毒



未安装微点主动防御软件的手动解决办法:

1.手动删除以下文件:
%Documents and Settings%\Administrator\Application Data\hidserv.exe

2.若可移动磁盘已感染则手动删除以下文件:
x:\AEXRGYH\DFG-2352-26235-2322322-624621221-2622255\w89e85t5.exe(x为可移动磁盘盘符)
x:\AEXRGYH\DFG-2352-26235-2322322-624621221-2622255\Desktop.ini
x:\autorun.inf

3.手动删除以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称:Windows Update System
数据:C:\Documents and Settings\Administrator\Application Data\hidserv.exe
SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
名称:Windows Update System
数据:C:\Documents and Settings\Administrator\Application Data\hidserv.exe

4.用正常host文件替换被病毒修改后的host文件。

变?#21487;?#26126;:

%SystemDriver%       系统所在分区,通常为“C:\”
%SystemRoot%        WINDODWS所在目录,通常为“C:\Windows”
%Documents and Settings%  用户文?#30340;?#24405;,通常为“C:\Documents and Settings”
%Temp%           临时文件夹,通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
%ProgramFiles%       系统程序默认安装目录,通常为:“C:\ProgramFiles”

病毒分析

1.该样本运行后,改变自身进程报错模式,使病毒运行更加隐蔽。
2.创建名为"TTURJEJKKDF62432DJASDJSDMSDL"的互斥体对象,防止程序重复运行。
3.获取自身路径,比较自身是否是"%Documents and Settings%\Administrator\Application Data\hidserv.exe",若不是则复制自身到%Documents and Settings%\Administrator\Application Data\文件夹下,并更名为hidserv.exe。
4.创建进程运行%Documents and Settings%\Administrator\Application Data\hidserv.exe,然后样本退出。
5.Hidserv.exe运行后,创建多个线程,用以实施恶意行为。
6.线程1,反复向以下注册表写入数据,实现Hidserv.exe的开机启动以及躲避防火墙的阻止:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称:Windows Update System
数据:C:\Documents and Settings\Administrator\Application Data\hidserv.exe
SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
名称:Windows Update System
数据:C:\Documents and Settings\Administrator\Application Data\hidserv.exe
7.线程2,循环查找窗口名为"Windows Security Alert"、"BitDefender Firewall Alert"的窗口,若?#19994;?#21017;向其发送消息,关闭窗口。
8.线程3,循环查找本机中的可移动磁盘,若?#19994;?#21017;在其创建目录x:\AEXRGYH\DFG-2352-26235-2322322-624621221-2622255(x为可移动磁盘盘符),在目录下创建文件Desktop.ini以及将自身复制到该目录下更名为w89e85t5.exe(随机命名),将文件夹伪装成回收站,并在可移动磁盘根目录下创建autorun.inf文件指向病毒文件w89e85t5.exe,设置文件属性为系统隐藏,达到利用可移动磁盘传播自身。
9.之后创建系统快照,查找"avp.exe"、"norton.exe"、"mcafee.exe"等安全杀软进程,若?#19994;?#21017;尝试关闭进程。
10.修改本机host文件,屏蔽大量安全网站,阻止本机的访问。
11.初始化socket,与黑客指定远端地?#26041;?#31435;连接,等待黑客下一步命令。

病毒创建文件:

%Documents and Settings%\Administrator\Application Data\hidserv.exe
x:\AEXRGYH\DFG-2352-26235-2322322-624621221-2622255\w89e85t5.exe(x为可移动磁盘盘符)
x:\AEXRGYH\DFG-2352-26235-2322322-624621221-2622255\Desktop.ini
x:\autorun.inf

病毒修改注册表:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称:Windows Update System
数据:C:\Documents and Settings\Administrator\Application Data\hidserv.exe
SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
名称:Windows Update System
数据:C:\Documents and Settings\Administrator\Application Data\hidserv.exe

病毒访问网络:

http://www.sp***tes***le.com/10***bin

免费试用
下  载
安装演示

宁静电子游艺
2018哪个网游搬砖最赚钱 漫画家能赚钱吗 pk10十精准机器人计划 组选奖号028出现的前后关系 江西股票融资 浙江七乐彩走势图 一肖中特死公式规律 516游戏官方网站 喜乐彩复式投注方式 一肖中特四肖中特 长城汽车股票 山西十一选五遗漏 澳洲幸运5走示图 股票分析报告网 新疆十一选五购买 澳洲幸运8福彩中心