Virus/Autorun.ke
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
Virus/Autorun.ke 病毒是感染性质的下载者病毒,对系统的破坏性很大,感染所有磁盘,并感染所有网页文件插入"Iframe"的外部链接,用户中毒后机器会变得非常卡,此病毒会以最高权限对系统进行操作,修改注册表,感染磁盘文件,下载网络上新的病毒变种,复制自身到其他目录下添加AutoRun.inf配置文件对文件夹进行劫持,当移动设备插入到主机上,打开本地磁盘会继续感染到移动设备磁盘,是一个持续感染的病毒,当进驻到操作系统里以后会把自身复制到系统目录下重命名为"SVSHOST.EXE"来混淆用户。原文件会释放自删除脚本删除。
病毒行为流程分析:
一.传播途径:病毒每次被运行的时候都会检测当前注册表项中是否有启动项"SVSHOST.EXE",如果已检测到有此项,则退出。没有检测到此项则复制自身到系统目录下命名为"SVSHOST.EXE",并创建进程"SVSHOST.EXE"。Virus/Autorun.ke 以"SVSHOST.EXE"名称执行后,则开始搭建重启运行环境,将自身添加到注册表"Run"启动项中。检测IE注册表项,把默认主页设置为"http://127.0.0.1",关闭Windwos自动更新的注册表项。创建批处理文件,自删原来的Virus/Autorun.ke 病毒体,病毒已经为自身复制了一份"SVSHOST.EXE",原来的将被删除。
二、执行流程:Virus/Autorun.ke 病毒自身复制到System32目录下,启动后会修改注册表,遍历磁盘文件,感染磁盘里所有的网页文件添加"iframe" 外部调用,对系统根目录下释放"AutoRun.inf",将自身复制与"AutoRun.inf"文件相同目录下命名为"lcg.exe"。完成感染环境的搭建后开启线程重复检测磁盘根目录下的"AutoRun.inf",如果没有就进行释放。
病毒技术要点:
Virus/Autorun.ke 病毒是自我复制,自我传播型病毒的典型,从自我复制对系统的启动调用,添加开机启动,感染系统所有磁盘,混淆创建"SVSHOST.EXE"来进行启动。
预防和清除:
1. Virus/Autorun.ke 病毒的特征中毒后机器变慢,检测磁盘根目录下是否有隐藏的AutoRun.inf,并伴有lcg.exe。
2. 再通过安全软件查看系统里是否有SVSHOST.EXE的进程,如果发现应先结束该进程,通过资源管理器打开磁盘目录,删除里面的Autorun.inf 和lcg.exe(每个磁盘根目录都要操作)。在系统System32目录下搜索SVSHOST.EXE,找到后删除,在注册表中删除对应的项。
TrojanDownloader/Agent.csqz
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述:
TrojanDownloader/Agent.csqz 病毒运行后对从自身中抽取两个文件释放到系统目录下,一个可执行文件(system.exe),同时执行"System.exe",释放一个动态链接库(mppuo.dll)并调用系统Rundll32.exe执行DLL导出函数"Exucute"。DLL导出函数停止相关系统服务,释放驱动文件到软件安装目录在KAV文件夹创建"CDriver.sys",然后再进行删除。停止MpsSvc与WinDefend服务,对原病毒执行文件进行删除,再释放对当前登录用户主目录进行释放动态链接库"tannq.drv"和驱动文件"xubrj"。"tannq.drv"被Rundll32.exe加载以后,会进行网络访问,并下载其他程序到中毒的机器上,并将System.exe添加到开机自动启动目录项。
病毒行为流程分析:
一、
TrojanDownloader/Agent.csqz 是由C++编写,并由加密壳进行加密进行文件的保护,运行后会抽取自身未加密的原文件并保存到系统目录下命名为"System.exe",并执行system.exe,释放动态链接库文件到系统目录下命名为"mppuo.dll",DLL提供导出函数完成对系统安全服务的关闭,并在当前登录用户的目录下释放动态链接库文件"tannq.drv"。"tannq.drv" 被加载起来后,联网下载"xubrj"驱动文件进行装载。
二、
"tannq.drv" 将xubrj驱动文件装载入系统后,开始遍历进程,检测到敏感进程或者杀毒的进程,在内核里调用强行结束进程函数。对杀软进程结束。"tannq.drv" 完成对系统杀软的停止后,继续联网下载其他恶意程序,并将原始病毒执行文件和驱动进行删除,对"system.exe"进行无限循环重写注册表开机重启项。
网络连接
以上为TrojanDownloader/Agent.csqz的执行流程,最先写入系统的System.exe,为主要进程,文件的释放和加载,联网,都由此宿主文件文件执行,而最初的原始文件被自删之后已经不存在。
病毒技术要点
TrojanDownloader/Agent.csqz 的执行流程很顺序,都由最初的system.exe执行后来完成后续的工作,但其在看是否有卡巴的时候,是以释放的文件到卡巴的安装目录来检测,并非直接查找卡巴相关进程。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Trojan.Necurs
警惕程度 ★★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan.Klovbot是一个木马,它在受感染的计算机上打开一个后门,并禁止计算机上的放病毒产品软件,以及下载和安装其他恶意软件。
当木马执行时,它会创建以下文件:
%Windir%\Installer\[RANDOM GUID]\syshost.exe
%System%\drivers\[RANDOM CHARACTERS FILE NAME].sys
然后它创建一下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\syshost32\"[RANDOM CHARACTERS]" = "[RANDOM HEXADECIMAL VALUE]"
然后,创建下列服务:
Service Name: syshost32
Image Path: %Windir%\[RANDOM GUID]\syshost.exe
Startup Type: Automatic
Display Name: syshost.exe
Image Path: %System%\drivers\[RANDOM DRIVER NAME].sys
然后,该木马加载驱动程序:
%System%\drivers\[RANDOM CHARACTERS].sys
该木马利用加载的驱动程序,禁止受感染计算机上的放病毒软件运行。
然后,它将自身复制到以下位置:
%Temp%\[RANDOM CHARACTERS FILE NAME].tmp
该木马在计算机重新启动时,删除下面的文件:
%Temp%\[RANDOM CHARACTERS FILE NAME].tmp
该木马也可以删除下列的替代数据流:
%Windir%\Installer\[RANDOMGUID]\syshost.exe:Zone.Identifier
然后,该木马连接到下列远程地址:
fjgtotezrp.com
jgordbvdokn.com
xwowqomnddc.com
它在该计算机上打开一个后门,并从远程服务器下载恶意文件。
该木马能够检测虚拟机,无法再虚拟机环境内运行。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
钓鱼网站提示:
**.**8866866666.com/
www.**7888888888.com/
www.**7888888888.com/analytics.php
www.**7888888888.com/app
**loadoadadd.**pornornrnn.cf.gs
挂马网站提示:
http://jump.**666.org
http://hj688.**222.org
http://wmgf.**222.org
http://uubakdjgkl.**666.org
http://jiamuoa.**222.org
请勿打开类似上述网站,保持计算机的网络防火墙打开。
以上信息由上海市网络与信息安全应急管理事务中心提供