Worm.Win32.AutoRun.ekm

病毒名稱： Worm.Win32.AutoRun.ekm

病毒類型： 蠕蟲

檔案 MD5： 493A917EBA76C506CD0C9F5933542D00

開發工具： Borland Delphi 6.0 - 7.0

1、調用API函式FindWindowA獲取常用路徑，查找當前標題為：“我的電腦”、“我的電腦”、“My Computer”的窗體，使用PostMessageA函式向該視窗傳送訊息。

2、檔案運行後會釋放以下檔案

%system32%\uvaucd.exe

%system32%\sciony.exe

%system32%\musz1s.dll

%system32%\musz2s.dll

%system32%\nvshfq.dll

%system32%\nvshfq.nls

%system32%\uvaucd.inf

%HomeDrive%\sciony.exe

%HomeDrive%\autorun.inf

3、刪除註冊表、添加註冊表啟動項

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden

\SHOWALL\CheckedValue

值: DWORD: 1 (0x1)

描述：使用戶無法更改資料夾選項

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network

\{4D36E967-E325-11CE-BFC1-08002BE10318}\@

值: 字元串: "DiskDrive"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

\{4D36E967-E325-11CE-BFC1-08002BE10318}\@

值: 字元串: "DiskDrive"

描述：使系統無法進入安全模式

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden

新: DWORD: 0 (0)

舊: DWORD: 1 (0x1)

描述：使系統隱藏檔案設定為不可見

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder

\SuperHidden\Type

新: 字元串: "checkbox2"

舊: 字元串: "checkbox"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\helpsvc\Start

新: DWORD: 4 (0x4)

舊: DWORD: 2 (0x2)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Start

新: DWORD: 4 (0x4)

舊: DWORD: 2 (0x2)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

\被劫持的軟體名\Debugger

值: 字元串: "ntsd -d"

描述：添加映像劫持，被劫持的列表為：

360rpt.exe、360rpt.exe、360Safe.exe、360Safe.exe、360safebox.exe、360safebox.exe、360tray.exe、360tray.exe、adam.exe、adam.exe、AgentSvr.exe、AgentSvr.exe、AntiU.exe、AntiU.exe、AoYun.exe、AoYun.exe、appdllman.exe、appdllman.exe、AppSvc32.exe、AppSvc32.exe、ArSwp.exe、ArSwp.exe、AST.exe、AST.exe、auto.exe、auto.exe、AutoRun.exe、AutoRun.exe、autoruns.exe、autoruns.exe、av.exe、av.exe、AvastU3.exe、AvastU3.exe、avconsol.exe、avconsol.exe、avgrssvc.exe、avgrssvc.exe、AvMonitor.exe、AvMonitor.exe、avp.com、avp.com、avp.exe、avp.exe、AvU3Launcher.exe、AvU3Launcher.exe、CCenter.exe、CCenter.exe、ccSvcHst.exe、ccSvcHst.exe、cross.exe、cross.exe、Discovery.exe、Discovery.exe、EGHOST.exe、EGHOST.exe、FileDsty.exe、FileDsty.exe、FTCleanerShell.exe、FTCleanerShell.exe、FYFireWall.exe、FYFireWall.exe、ghost.exe、ghost.exe、guangd.exe、guangd.exe、HijackThis.exe、HijackThis.exe、IceSword.exe、IceSword.exe、iparmo.exe、iparmo.exe、Iparmor.exe、Iparmor.exe、irsetup.exe、irsetup.exe、isPwdSvc.exe、isPwdSvc.exe、kabaload.exe、kabaload.exe、KaScrScn.SCR、KaScrScn.SCR、KASMain.exe、KASMain.exe、KASTask.exe、KASTask.exe、KAV32.exe、KAV32.exe、KAVDX.exe、KAVDX.exe、KAVPF.exe、KAVPF.exe、KAVPFW.exe、KAVPFW.exe、KAVSetup.exe、KAVSetup.exe、KAVStart.exe、KAVStart.exe、kernelwind32.exe、kernelwind32.exe、KISLnchr.exe、KISLnchr.exe、kissvc.exe、kissvc.exe、KMailMon.exe、KMailMon.exe、KMFilter.exe、KMFilter.exe、KPFW32.exe、KPFW32.exe、KPFW32X.exe、KPFW32X.exe、KPfwSvc.exe、KPfwSvc.exe、KRegEx.exe、KRegEx.exe、KRepair.com、KRepair.com、KsLoader.exe、KsLoader.exe、KVCenter.kxp、KVCenter.kxp、KvDetect.exe、KvDetect.exe、KvfwMcl.exe、KvfwMcl.exe、KVMonXP.kxp、KVMonXP.kxp、KVMonXP_1.kxp、KVMonXP_1.kxp、kvol.exe、kvol.exe、kvolself.exe、kvolself.exe、KvReport.kxp、KvReport.kxp、KVScan.kxp、KVScan.kxp、KVSrvXP.exe、KVSrvXP.exe、KVStub.kxp、KVStub.kxp、kvupload.exe、kvupload.exe、kvwsc.exe、kvwsc.exe、KvXP.kxp、KvXP.kxp、KvXP_1.kxp、KvXP_1.kxp、KWatch.exe、KWatch.exe、KWatch9x.exe、KWatch9x.exe、KWatchX.exe、KWatchX.exe、loaddll.exe、loaddll.exe、logogo.exe、logogo.exe、MagicSet.exe、MagicSet.exe、mcconsol.exe、mcconsol.exe、mmqczj.exe、mmqczj.exe、mmsk.exe、mmsk.exe、Navapsvc.exe、Navapsvc.exe、Navapw32.exe、Navapw32.exe、NAVSetup.exe、NAVSetup.exe、niu.exe、niu.exe、nod32.exe、nod32.exe、nod32krn.exe、nod32krn.exe、nod32kui.exe、nod32kui.exe、NPFMntor.exe、NPFMntor.exe、pagefile.exe、pagefile.exe、pagefile.pif、pagefile.pif、PFW.exe、PFW.exe、PFWLiveUpdate.exe、PFWLiveUpdate.exe、QHSET.exe、QHSET.exe、QQDoctor.exe、QQDoctor.exe、QQDoctorMain.exe、QQDoctorMain.exe、QQKav.exe、QQKav.exe、QQSC.exe、QQSC.exe、Ras.exe、Ras.exe、Rav.exe、Rav.exe、RavMon.exe、RavMon.exe、RavMonD.exe、RavMonD.exe、RavStub.exe、RavStub.exe、RavTask.exe、RavTask.exe、RegClean.exe、RegClean.exe、regedit.exe、regedit.exe、regedit32.exe、regedit32.exe、rfwcfg.exe、rfwcfg.exe、rfwmain.exe、rfwmain.exe、rfwProxy.exe、rfwProxy.exe、rfwsrv.exe、rfwsrv.exe、RsAgent.exe、RsAgent.exe、Rsaupd.exe、Rsaupd.exe、rstrui.exe、rstrui.exe、runiep.exe、runiep.exe、safelive.exe、safelive.exe、scan32.exe、scan32.exe、ScanU3.exe、ScanU3.exe、SDGames.exe、SDGames.exe、SelfUpdate.exe、SelfUpdate.exe、servet.exe、servet.exe、shcfg32.exe、shcfg32.exe、SmartUp.exe、SmartUp.exe、sos.exe、sos.exe、SREng.EXE、SREng.EXE、SREngPS.EXE、SREngPS.EXE、symlcsvc.exe、symlcsvc.exe、SysSafe.exe、SysSafe.exe、TNT.Exe、TNT.Exe、TrojanDetector.exe、TrojanDetector.exe、Trojanwall.exe、Trojanwall.exe、TrojDie.kxp、TrojDie.kxp、TxoMoU.Exe、TxoMoU.Exe、UFO.exe、UFO.exe、UIHost.exe、UIHost.exe、UmxAgent.exe、UmxAgent.exe、UmxAttachment.exe、UmxAttachment.exe、UmxCfg.exe、UmxCfg.exe、UmxFwHlp.exe、UmxFwHlp.exe、UmxPol.exe、UmxPol.exe、upiea.exe、upiea.exe、UpLive.exe、UpLive.exe、USBCleaner.exe、USBCleaner.exe、vsstat.exe、vsstat.exe、webscanx.exe、webscanx.exe、WoptiClean.exe、WoptiClean.exe、Wsyscheck.exe、Wsyscheck.exe、XDelBox.exe、XDelBox.exe、XP.exe、XP.exe、zjb.exe、zjb.exe、zxsweep.exe、zxsweep.exe、~.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\sciony.exe

值: 字元串: "C:\WINDOWS\system32\sciony.exe"

描述：添加病毒註冊表啟動項

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\uvaucd.exe

值: 字元串: "%system32%\uvaucd.exe"

描述：添加病毒註冊表啟動項

4、遍歷進程查找QQ.exe、QQDoctor.exe、QQDoctorMain.exe，找到以後調用TerminateProcess函式將其進程強行結束，使用CMD命令/c del刪除病毒自身，使用了進程互相技術防止病毒進程被結束。

協定：TCP

連線埠：80

連線伺服器名：http://a198921.cni****.cn

描述：連線該域名伺服器下載惡意病毒檔案,傳送GET信息請求以下病毒檔案：

GET /11.exe

GET /cs1.exe

GET /cs.exe

註：%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。

%Windir% 　 　 WINDODWS所在目錄

%DriveLetter%　 　 邏輯驅動器根目錄

%ProgramFiles%　 　 　 系統程式默認安裝目錄

%HomeDrive% 　 當前啟動的系統的所在分區

%Documents and Settings% 　當前用戶文檔根目錄

%Temp% 　\Documents and Settings

\當前用戶\Local Settings\Temp

%System32% 　系統的 System32資料夾

Windows2000/NT中默認的安裝路徑是C:\Winnt\System32

windows95/98/me中默認的安裝路徑是%WINDOWS%\System

windowsXP中默認的安裝路徑是%system32%

1、使用安天防線可徹底清除此病毒(推薦)。

2、手工清除請按照行為分析刪除對應檔案，恢復相關係統設定。

（1）使用ATOOL管理工具，“進程管理“，同時結束uvaucd.exe、 sciony.exe進程。

（2） 強行刪除病毒檔案

%system32%\uvaucd.exe

%system32%\sciony.exe

%system32%\musz1s.dll

%system32%\musz2s.dll

%system32%\nvshfq.dll

%system32%\nvshfq.nls

%system32%\uvaucd.inf

%HomeDrive%\sciony.exe

%HomeDrive%\autorun.inf

（3）恢復註冊表下的安全模式,將以下3個註冊表鍵分別用記事本分別保存為後綴名為.reg的檔案，雙擊導入即可

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder

\Hidden\SHOWALL\CheckedValue

值: DWORD: 1 (0x1)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network

\{4D36E967-E325-11CE-BFC1-08002BE10318}\@

值: 字元串: "DiskDrive"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

\{4D36E967-E325-11CE-BFC1-08002BE10318}\@

值: 字元串: "DiskDrive"

（4）恢復病毒修改的註冊表

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden

新: DWORD: 0 (0)

舊: DWORD: 1 (0x1)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced

\Folder\SuperHidden\Type

新: 字元串: "checkbox2"

舊: 字元串: "checkbox"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\helpsvc\Start

新: DWORD: 4 (0x4)http://control.blog.sina.com.cn/admin/article/article_add.php

舊: DWORD: 2 (0x2)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Start

新: DWORD: 4 (0x4)

舊: DWORD: 2 (0x2)

（5）刪除註冊表病毒啟動項、刪除註冊表添加的映像劫持

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\sciony.exe

值: 字元串: "C:\WINDOWS\system32\sciony.exe"

刪除run鍵下的病毒鍵sciony.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\uvaucd.exe

值: 字元串: "%system32%\uvaucd.exe"

刪除run鍵下的病毒鍵uvaucd.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

\被劫持的軟體名\Debugger

值: 字元串: "ntsd -d"

刪除Image File Execution Options鍵下的所有鍵值