基本介紹
- 外文名:Worm/Win32.Downloader.aas
- 危害等級:4
- 公開範圍:完全公開
- 病毒類型:下載者
病毒標籤,病毒描述,本地行為,網路行為,清除方案,
病毒標籤
病毒名稱: Worm/Win32.Downloader.aas
檔案 MD5: 95C25C1D364CE0A173916595D8025C05
檔案長度: 16,588 位元組
感染系統: Windows98以上版本
加殼類型: WinUpack 0.39 final -> By Dwing
病毒描述
該病毒為下載者木馬,病毒運行後,創建的驅動檔案主要行為:恢復SSDT躲避部分安全軟體的主要防禦提示,獲取user32.dll檔案創建時間將該驅動檔案設定為user32.dll檔案創建時間,並打開BEEP服務、使用系統服務載入病毒驅動檔案,通過遍歷進程查找大量安全軟體進程如存在則添加註冊表映射劫持,遍歷進程查找avp.exe、RStray.exe進程,找到傳送關閉訊息,創建病毒驅動設備名"\\.\PciFtDisk"判斷%Windir%目錄下的explorer.exe是否有效,將kernel32.dll載入到該進程中,拷貝%System32%目錄下的"urlmon.dll"到臨時目錄下,動態載入臨時目錄下的"urlmon.dll"檔案,調用API函式連線網路讀取信息下載大量惡意檔案,監視部分安全軟體窗體,如傳送後則傳送關閉訊息,衍生svchost.exe、綠化.bat到%Temp%臨時目錄下,查找\WinRAR\Rar.exe安裝路徑,遍歷查找所有分區的.rar,.zip,.tgz,.cab,.tar檔案,找到後調用winrar命令"-ep a"執行 %Temp%\綠化.bat檔案,通過區域網路ipc$共享傳播自身。
本地行為
1、創建名為"u1s2a3f4e5n6o7w"的互斥量,防止病毒多次運行產生衝突,遍歷進程查找"winlogon.exe"進程,找到之後打開該進程ID,動態將"sfc_os.dll"載入該進程中,獲取該動態程式庫基址,刪除%System32%\dllcache、%System32%\drivers目錄下的Beep.sys檔案。
2、檔案運行後會釋放以下檔案
%System32%\drivers\Beep.sys (恢復SSDT躲避部分安全軟體的主要防禦提示)
%Temp%\svchost.exe (通過區域網路ipc$共享傳播自身)
%Temp%\綠化.bat
3、添加註冊表映射劫持
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\被劫持的檔案名稱\Debugger
值: 字元串: "ntsd -d"
360Safe.exe、360safebox.exe、360tray.exe、adam.exe、AgentSvr.exe、AntiArp.exe、AppSvc32.exe、arswp.exe、AST.exe、autoruns.exe、avcenter.exe、avconsol.exe、avgnt.exe、avgrssvc.exe、AvMonitor.exe、avp.com、avp.exe、CCenter.exe、ccSvcHst.exe、DrvAnti.exe、EGHOST.exe、FileDsty.exe、filemon.exe、FTCleanerShell.exe、FYFireWall.exe、GFRing3.exe、GFUpd.exe、HijackThis.exe、IceSword.exe、iparmo.exe、Iparmor.exe、isPwdSvc.exe、kabaload.exe、KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、KAVPFW.exe、KAVSetup.exe、KAVStart.exe、KISLnchr.exe、KMailMon.exe、KMFilter.exe、KPFW32.exe、KPFW32X.exe、KPfwSvc.exe、Kregex.exe、KRepair.com、KsLoader.exe、KvDetect.exe、KvfwMcl.exe、kvol.exe、kvolself.exe、KVSrvXP.exe、kvupload.exe、kvwsc.exe、KvXP.kxp、KWatch.exe、KWatch9x.exe、KWatchX.exe、MagicSet.exe、mcconsol.exe、McNASvc.exe、McProxy.exe、Mcshield.exe、mcsysmon.exe、mmqczj.exe、mmsk.exe、MpfSrv.exe、Navapsvc.exe、Navapw32.exe、NAVSetup.exe、nod32.exe、nod32krn.exe、nod32kui.exe、NPFMntor.exe、PFW.exe、PFWLiveUpdate.exe、ProcessSafe.exe、procexp.exe、QHSET.exe、QQDoctor.exe、QQDoctorMain.exe、QQKav.exe、Ras.exe、Rav.exe、RavMon.exe、RavMonD.exe、RavStub.exe、RavTask.exe、RawCopy.exe、RegClean.exe、regmon.exe、RegTool.exe、rfwcfg.exe、rfwmain.exe、rfwProxy.exe、rfwsrv.exe、rfwstub.exe、RsAgent.exe、Rsaupd.exe、RStray.exe、rstrui.exe、Rtvscan.exe、runiep.exe、safeboxTray.exe、safelive.exe、scan32.exe、SelfUpdate.exe、shcfg32.exe、SmartUp.exe、SREng.exe、SuperKiller.exe、symlcsvc.exe、SysSafe.exe、taskmgr.exe、TrojanDetector.exe、Trojanwall.exe、TrojDie.exe、UIHost.exe、UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、upiea.exe、UpLive.exe、USBCleaner.exe、vsstat.exe、webscanx.exe、WoptiClean.exe、zxsweep.exe
描述:被劫持的檔案列表
4、獲取user32.dll檔案創建時間將該驅動檔案設定為user32.dll檔案創建時間,並打開BEEP服務、使用系統服務載入病毒驅動檔案,遍歷進程查找avp.exe、RStray.exe進程,找到傳送關閉訊息,創建病毒驅動設備名"\\.\PciFtDisk"判斷%Windir%目錄下的explorer.exe是否有效,將kernel32.dll載入到該進程中,拷貝%System32%目錄下的"urlmon.dll"到臨時目錄下,動態載入臨時目錄下的"urlmon.dll"檔案。
5、監視部分安全軟體窗體,如傳送後則傳送關閉訊息,查找\WinRAR\Rar.exe安裝路徑,遍歷查找所有分區的.rar,.zip,.tgz,.cab,.tar檔案,找到後調用winrar命令"-ep a"執行 %Temp%\綠化.bat檔案,通過網路ipc$共享傳播自身。
網路行為
協定:TCP
連線埠:80
連線地址:http://www.hfdy2929**.com/bak.txt
描述:連線該地址讀取列表下載大量惡意病毒檔案
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是%WINDOWS%\System
windowsXP中默認的安裝路徑是%system32%
清除方案
1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1)使用ATOOL管理工具,“進程管理”查找結束病毒進程"hun.exe"。
(2) 強行刪除病毒衍生及下載的大量病毒檔案
%System32%\drivers\Beep.sys
%Temp%\svchost.exe
%Temp%\綠化.bat
(3)刪除病毒添加的註冊表啟動項及劫持的安全軟體項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\被劫持的檔案名稱\Debugger
刪除Image File Execution Options鍵下被劫持的檔案名稱
