蠕蟲程式Worm.Win32.AutoRun.kor

Worm.Win32.AutoRun.kor

捕獲時間

2009-2-28

病毒摘要

    該樣本是使用“VC”編寫的蠕蟲程式，由微點主動防禦軟體自動捕獲，長度為“24,659 位元組”，圖示為“ ”，病毒副檔名為“exe”， 主要通過“檔捆綁”、“下載器下載”、“移動存儲介質”、“局域網”等方式傳播，病毒主要目的為病毒主要目的為下載大量木馬到用戶主機運行。
    用戶中毒後，會出現電腦及網路運行緩慢，安全軟體無故關閉，各類軟體、Windows無故報錯，發現大量未知進程，可移動磁片、U盤內出現Autorun.ini，且可能局域網內其他主機出現雷同現象。





感染對象

Windows 2000/Windows XP/Windows 2003

傳播途徑

檔捆綁、下載器下載、移動存儲介質、局域網

手動解決辦法：

1、手動刪除以下檔：
　　%SystemRoot%\ini\ini.exe
　　%SystemRoot%\ini\desktop.ini
　　%SystemRoot%\ini\shit.vbs
　　%SystemRoot%\ini\wsock32.dll
　　%SystemRoot%\Tasks\安裝.bat
　　%Temp%\configmon.dat

　　除“磁片根目錄、%SystemRoot%、Documents and Settings”以外的各檔夾內的全部“wsock32.dll”

　　可移動磁片內的：
　　Autorun.ini
　　recycle.{645FF040-5081-101B-9F08-00AA002F954E}
　　recycle.{645FF040-5081-101B-9F08-00AA002F954E}\ini.exe
　　
2、手動刪除以下註冊表值：
　　鍵：HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{H8I22RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}

3、修復安全模式、從新設置啟動項。




　　變數聲明：

　　%SystemDriver%　　　　　　　系統所在分區，通常為“C:\”
　　%SystemRoot%　　　　　　　　WINDODWS所在目錄，通常為“C:\Windows”
　　%Documents and Settings%　　用戶文檔目錄，通常為“C:\Documents and Settings”
　　%Temp%　　　　　　　　　　　暫存檔案夾，通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
　　%ProgramFiles%　　　　　　　系統程式默認安裝目錄，通常為：“C:\ProgramFiles”

病毒分析

（1）偽裝病毒自身生成檔夾為“回收站”；
（2）嘗試關閉各類安全軟體；
（3）修改註冊表，設置啟動項；
（4）為可移動磁片建立“Autorun.ini”；
（5）嘗試利用弱口令訪問局域網其他主機，生成“kav32.exe”；
（6）修改host表，遮罩大量電腦安全網站、廠商網址；
（7）刪除註冊表項，破壞安全模式；
（8）遍曆全部檔夾，在除“磁片根目錄、%SystemRoot%、Documents and Settings”以外的各檔夾內生成病毒檔“wsock32.dll”；
（9）訪問網路，進行感染統計，下載大量病毒檔至用戶主機後運行。
　　
　　
　　病毒創建檔：
　　
　　%SystemRoot%\ini\ini.exe
　　%SystemRoot%\ini\desktop.ini
　　%SystemRoot%\ini\shit.vbs
　　%SystemRoot%\ini\wsock32.dll
　　%SystemRoot%\Tasks\安裝.bat
　　*\wsock32.dll
　　%可移動磁片%\Autorun.ini
　　%可移動磁片%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}
　　%可移動磁片%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\ini.exe
　　%Temp%\configmon.dat
　　
　　病毒修改檔：
　　
　　%SystemRoot%\system32\drivers\etc\hosts
　　
　　病毒創建註冊表：
　　
　　鍵：HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{H8I22RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
　　
　　病毒刪除註冊表：
　　
　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
　　
　　病毒創建進程：
　　
　　%SystemRoot%\ini\ini.exe
　　
　　病毒訪問網路：
　　
　　http://...s***ffgg.cn/d/get.asp?mac=*****&ver=1.3
　　http://w...o***e.cn/down.txt
　　http://fsd....7**6.org/0.exe
　　http://fsd....7**6.org/1.exe
　　http://fsd....7**6.org/1.exe
　　http://fsd....7**6.org/2.exe
　　http://fsd....7**6.org/3.exe
　　http://fsd....7**6.org/4.exe
　　http://fsd....7**6.org/5.exe
　　http://fsd....7**6.org/6.exe
　　http://fsd....7**6.org/7.exe
　　http://fsd....7**6.org/8.exe
　　http://fsd....7**6.org/9.exe
　　http://fsd....7**6.org/10.exe
　　http://fsd....7**6.org/11.exe
　　http://fsd....7**6.org/12.exe
　　http://fsd....7**6.org/13.exe
　　http://fsd....7**6.org/14.exe
　　http://fsd....7**6.org/15.exe
　　http://fsd....7**6.org/16.exe
　　http://fsd....7**6.org/17.exe
　　http://fsd....7**6.org/18.exe
　　http://fsd....7**6.org/19.exe
　　http://fsd....7**6.org/20.exe
　　http://fsd....7**6.org/21.exe
　　http://fsd....7**6.org/22.exe
　　http://fsd....7**6.org/23.exe
　　http://fsd....7**6.org/24.exe
　　http://fsd....7**6.org/25.exe
　　http://fsd....7**6.org/26.exe
　　http://fsd....7**6.org/27.exe
　　http://fsd....7**6.org/28.exe