病毒名稱: Virus.Win32.AutoRun.y病毒類型: 病毒檔案 MD5: 92EC82B55CF7D5878B29A837BCD609CC公開範圍: 完全公開危害等級: 4檔案長度: 53,760 位元組感染系統: Windows98以上版本開發工具: Borland Delphi 6.0 - 7.0加殼類型: UPX 0.89.6 - 1.02 / 1.05 - 1.22
基本介紹
- 外文名:Virus.Win32.AutoRun.y
- 病毒檔案: MD5
- 檔案長度: 53,760 位元組
- 領域:計算機
- 病毒類型:木馬
基本信息,傳播過程,
基本信息
病毒運行後複製自身到系統目錄,並重命名為death.exe ,衍生病毒檔案。 修改註冊表,添加啟動項,以達到隨機啟動的目的。該病毒利用隨身碟等移動存儲介質進行傳播,還可通過弱口令掃描其它機器傳播自身。通過修改hosts檔案使用戶無法打開常見防毒軟體網站。主動連線網路,下載相關病毒檔案信息。
傳播過程
本地行為:
1、檔案運行後會釋放以下檔案
%HomeDrive%\pass.dic 14,456 位元組
%System32%\death.exe 53,760 位元組
%System32%\Death.SiShen 81 位元組
%System32%\drivers\etc\hosts 2,680 位元組
2、新增註冊表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
註冊表值: " Death.exe"
類型: REG_SZ
值: " C:\WINDOWS\system32\Death.exe"
描述: 添加啟動項,以達到隨機啟動的目的
3、修改hosts檔案,以使kaspersky、江民、瑞星的網站信息無法顯示:
127.0.0.1 localhost
188.188.122.33 localhost
dnl-us1.kaspersky-labs.com localhost
dnl-us2.kaspersky-labs.com localhost
dnl-us3.kaspersky-labs.com localhost
dnl-us4.kaspersky-labs.com localhost
dnl-us5.kaspersky-labs.com localhost
dnl-us6.kaspersky-labs.com localhost
dnl-us7.kaspersky-labs.com localhost
dnl-us8.kaspersky-labs.com localhost
dnl-us9.kaspersky-labs.com localhost
dnl-us10.kaspersky-labs.com localhost
dnl-us11.kaspersky-labs.com localhost
dnl-us12.kaspersky-labs.com localhost
dnl-us13.kaspersky-labs.com localhost
dnl-us14.kaspersky-labs.com localhost
dnl-us15.kaspersky-labs.com localhost
dnl-us16.kaspersky-labs.com localhost
dnl-us17.kaspersky-labs.com localhost
dnl-us18.kaspersky-labs.com localhost
dnl-us19.kaspersky-labs.com localhost
dnl-us20.kaspersky-labs.com localhost
update.jiangmin.info localhost
update1.jiangmin.info localhost
update2.jiangmin.info localhost
update3.jiangmin.info localhost
update4.jiangmin.info localhost
update5.jiangmin.info localhost
update6.jiangmin.info localhost
update7.jiangmin.info localhost
update8.jiangmin.info localhost
update9.jiangmin.info localhost
update10.jiangmin.info localhost
update.jiangmin.com localhost
update1.jiangmin.com localhost
update2.jiangmin.com localhost
update3.jiangmin.com localhost
update4.jiangmin.com localhost
update5.jiangmin.com localhost
update6.jiangmin.com localhost
update7.jiangmin.com localhost
update8.jiangmin.com localhost
update9.jiangmin.com localhost
update10.jiangmin.com localhost
edu.jiangmin.com localhost
edu1.jiangmin.com localhost
edu2.jiangmin.com localhost
edu3.jiangmin.com localhost
rsdownauto.rising.com.cn localhost
4、弱口令猜測
通過弱口令掃描其它機器,傳播自身;弱口令表存儲在 pass.dic檔案內。
5、利用隨身碟等移動存儲介質進行傳播。當移動存儲介質與電腦連線後則自動寫入Autorun.inf檔案與對應執行檔案Death.exe,即病毒副本。Autorun.inf內容在本機中存儲在Death.SiShen檔案中,內容為:
[Autorun]
OPEN=Death.exe
shellexecute=Death.exe
shell\Auto\command=Death.exe
網路行為:
1、連線網路下載病毒檔案:
連線網路:
(218.16.224.51:80)
下載病毒檔案並自動運行:
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,
windows95/98/me中默認的安裝路徑是C:\Windows\System,
windowsXP中默認的安裝路徑是C:\Windows\System32。
%Temp% = C:\Documents and Settings\當前用戶\Local Settings\Temp 當前用戶TEMP快取變數
%Windir%\ WINDODWS所在目錄
%DriveLetter%\ 邏輯驅動器根目錄
%ProgramFiles%\ 系統程式默認安裝目錄
%HomeDrive% = C:\ 當前啟動的系統的所在分區
%Documents and Settings%\ 當前用戶文檔根目錄
三、 清除方案:
1、使用安天木馬防線可徹底清除此病毒(推薦),。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。推薦使用ATool免費工具(安天安全管理工具),ATool下載 。
(2) 強行刪除病毒檔案
%HomeDrive%\pass.dic 14,456 位元組
%System32%\death.exe 53,760 位元組
%System32%\Death.SiShen 81 位元組
%System32%\drivers\etc\hosts 2,680 位元組
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
註冊表值: " Death.exe"
類型: REG_SZ
值: " C:\WINDOWS\system32\Death.exe"
描述: 添加啟動項,以達到隨機啟動的目的
