該病毒屬蠕蟲類,判斷自己是否是在系統盤下的MSDOS.bat,如果是則將系統盤目錄打開,創建目錄%Windir%\Tasks,將自身複製到該目錄下,判斷“%Windir%\Tasks”目錄下是否存在0x01xx8p.exe檔案,如存在則將其刪除,判斷當前進程是否存在“avp.exe”,如找到則將系統時間修改為2004年1月1日,複製自身到%HomeDrive%\spoolsv.exe,%Windir%\Tasks\spoolsv.ext ,%Windir%\Tasks\SysFile.brk,並刪除自身檔案·感染explorer.exe,先在%Windir%\tasks\釋放被感染的explorer.ext然後再保存到%Windir%\explorer.exe,將要感染的病毒代碼賦值到快取,將被感染檔案的最後一個節改名為·WYCao,注入被感染代碼和自身病毒體,感染成功後替換原檔案,遍歷進程判斷是否存在如下進程, avp.exe, kvsrvxp.exe,kissvc.exe,如果存在的話則強制結束·感染xml/cgi/jsp/php/aspx/asp/shtml/shtm/html/htm檔案,刪除磁碟現有的所有·gho檔案。感染系統目錄以外的scr/com/cmd/bat/exe.檔案,遍歷固定磁碟和可移動磁碟,在各個分區根目錄下創建隱藏的系統屬性檔案autorun.inf和MSDOS.BAT.利用autorun.inf檔案特性,使用戶雙擊盤符就會自動運行病毒,隱藏開啟IExplore.exe進程連線網路下載大量病毒檔案,經分析下載的大量病毒檔案多為盜號木馬,使用戶的網路虛擬財產遭受損失。
基本介紹
- 外文名:Worm.Win32.AutoRun.doc
病毒標籤,行為分析,本地行為:,網路行為:,清除方案,
病毒標籤
病毒名稱: Worm.Win32.AutoRun.doc
病毒類型:蠕蟲
檔案 MD5: 476F8BA41F54238BA132DEC7B6C0B183
公開範圍:完全公開
危害等級: 4
檔案長度: 9,032 位元組
感染系統: Windir98以上版本
開發工具: Microsoft Visual C++ 6.0
加殼類型: WinUpack 0.39 final -> By Dwing
行為分析
本地行為:
1、釋放病毒檔案到以下目錄:
%Windir%\Tasks\0x01xx8p.exe 9,032 位元組
%Windir%\Tasks\spoolsv.ext
%Windir%\Tasks\SysFile.brk 57,856 位元組
2、判斷自己是否是在系統盤下的MSDOS.bat,如果是的話會將系統盤目錄打開,創建目錄%Windir%\Tasks,將自身複製到該目錄下,判斷“%Windir%\Tasks”目錄下是否存在0x01xx8p.exe檔案,如存在則將其刪除,判斷當然進程是否存在“avp.exe”,如找到則將系統時間修改為2004年1月1日。
3、感染explorer.exe,先在%Windir%\tasks\釋放被感染的explorer.ext 然後再保存到%Windir%\explorer.exe,將要感染的病毒代碼賦值到快取,將被感染檔案的最後一個節改名為.WYCao,注入被感染代碼和自身病毒體,感染成功後替換原檔案。
4、遍歷進程判斷是否存在如下進程, avp.exe, kvsrvxp.exe, kissvc.exe,如果存在的話則強制結束.感染xml/cgi/jsp/php/aspx/asp/shtml/shtm/html/htm檔案,刪除磁碟現有的所有.gho檔案。感染系統目錄以外的scr/com/cmd/bat/exe.檔案。
5、在各個分區根目錄下創建隱藏的系統屬性檔案autorun.inf和MSDOS.BAT.利用autorun.inf檔案特性,使用戶雙擊盤符就會自動運行病毒,隱藏開啟IExplore.exe進程連線http://444.e***.com/config.txt下載大量病毒檔案。
網路行為:
協定:TCP
連線埠:80
連線伺服器名:http://444.e***.com/config.txt
IP位址:59.53.88.***
描述:連線伺服器讀取TXT列表內容下載病毒,讀取的列表內容:
Random:
6287
Down:
http://444.kuk****.com/0/0.exe*
http://444.kuk****.com/0/1.exe*
http://444.kuk****.com/0/2.exe*
http://444.kuk****.com/0/3.exe*
http://444.kuk****.com/0/4.exe*
http://444.kuk****.com/0/5.exe*
http://444.kuk****.com/0/6.exe*
http://www.kuk****.com/0/7.exe*
http://444.kuk****.com/0/8.exe*
http://444.kuk****.com/0/9.exe*
http://444.kuk****.com/0/10.exe*
http://444.kuk****.com/0/11.exe*
http://444.kuk****.com/0/12.exe*
http://444.kuk****.com/0/13.exe*
FlipWEB:
*
SendGet:
*
InfeWeb:
*
NetBiosInfe:
1*
HDInfe:
0*
InfeExe:
0*
RemovInfe:
1*
RemovableDrive:
1*
FixedDrive:
1*
ReadTime:
50*
OpenSys:
1*
註: %System32% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System資料夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是C:\Windows\System32
清除方案
1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1)使用ATOOL進程管理結束explorer.exe進程。
複製%system32%\dllcache目錄下的explorer.exe檔案替換%Windir%目錄下的explorer.exe檔案。
(2)強行刪除病毒衍生的病毒檔案:
%Windir%\Tasks\0x01xx8p.exe
%Windir%\Tasks\spoolsv.ext
%Windir%\Tasks\SysFile.brk
%HomeDrive%\MSDOS.bat
%HomeDrive%\autorun.inf
%DriveLetter%\MSDOS.bat
%DriveLetter%\autorun.inf
(3)強行刪除病毒衍生的病毒檔案(註:該病毒下載的病毒列表可能會隨時變化)
%system32%\config\mscg13.exe
%system32%\drivers\2h9k6qwl.sys
%system32%\drivers\bs2pmzbdm.sys
%system32%\fo18.dll
%system32%\2.ext
%system32%\inf\mscg13.exe
%system32%\3.ext
%system32%\ThunderBHONew14.dll
%system32%\4.ext
%system32%\2ba.dll
%system32%\b79a.dll
%system32%\79e7a.exe
%WINDIR\MayaGirl\MayaGirlMain.exe
%WINDIR\033.exe
%WINDIR\f9a.bmp
%WINDIR\91ba.exe
%WINDIR\1b60a.txt
