Worm.Win32.AutoRun.dbp

Worm.Win32.AutoRun.dbp為蠕蟲類病毒,病毒運行後,獲取KERNEL32.DLL基址,動態獲取API函式、創建一個:Height = 1 Width = 1的對話框,判斷%system32%\Drivers目錄下是否存在"sudami.sys",如存在則將其刪除並從新創建一個同名的檔案到該目錄下,並將檔案屬性設定為隱藏。

基本介紹

  • 中文名:Worm.Win32.AutoRun.dbp
  • 病毒類型蠕蟲
  • 公開範圍:完全公開
  • 危害等級:4
  • 檔案長度: 85,504 位元組
病毒標籤,病毒描述,行為分析,清除方案,

病毒標籤

病毒名稱: Worm.Win32.AutoRun.dbp
檔案 MD5: A1AF3D5C37035B3D0AC5969F01FD0C7A
感染系統: Windows98以上版本
開發工具: Microsoft Visual C++
加殼類型: ASPack 2.12 -> Alexey Solodovnikov

病毒描述

該病毒修改進程許可權、創建註冊表病毒服務、獲取ntdll.dll基址,動態獲取核心函式,使用核心函式ZwLoadDriver載入病毒驅動,創建病毒驅動設備名:"\\.\sudami",調用API函式打開一個網頁連結,將創建的對話框設定為最小化,調用函式向該對話框傳遞訊息,驅動檔案主要行為:5ms一次遍歷多款安全軟體進程,如發現就結束掉。

行為分析

本地行為
1、獲取KERNEL32.DLL基址,動態獲取API函式、CreateDialogParamA創建一個MoveWindow:Height = 1 Width = 1的對話框,判斷%system32%\Drivers目錄下是否存在"sudami.sys",如存在則將其刪除並從新創建一個同名的檔案到該目錄下,並將檔案屬性設定為隱藏。
2、檔案運行後會釋放以下檔案
%system32%\Drivers\sudami.sys
3、修改進程許可權、獲取ntdll.dll基址,動態獲取核心函式,使用核心函式ZwLoadDriver載入病毒驅動,創建病毒驅動設備名:"\\.\sudami",調用API函式ShellExecuteA打開一個網頁,將創建的對話框設定為最小化,調用函式向該對話框傳遞訊息。
4、驅動檔案主要行為:5ms一次遍歷多款安全軟體進程,如發現就結束掉,被遍歷的安全軟體進程及名字有:
KvXP.kxp、KVSrvXP.exe、KVwsc.exe、KVMonXP.kxp、KAVSvcUI.exe、KAVPFW.EXE、KAV32.exe、KAVsvc.exe、AVPM.EXE、AVPCC.EXE、AVP32.EXE、AVP.EXE、RAVmonD.exe、RAVmon.exe、RAVtimer.exe、Rising.exe、Rav.exe、360Safe.exe、360tray.exe、HijackThis.exe、THGUARD.EXE、PFW.EXE 、ZONEALARM.EXE、VSHWIN32.EXE、TBSCAN.EXE、SWEEP95.EXE、SMC.EXE、NMAIN.EXE、LUALL.EXE、ICMON.EXE、APVXDWIN.EXE
5、創建註冊表病毒服務
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sudami\ImagePath
值: 字元串: "system32\DRIVERS\sudami.sys."
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sudami\Start
值: DWORD: 3 (0x3)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sudami\Type
值: DWORD: 1 (0x1)
網路行為
連線網路打開連結:http://hi.b****.com/sudami
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。
%Windir%     WINDODWS所在目錄
%DriveLetter%    邏輯驅動器根目錄
%ProgramFiles%      系統程式默認安裝目錄
%HomeDrive%   當前啟動的系統的所在分區
%Documents and Settings%  當前用戶文檔根目錄
%Temp%  \Documents and Settings
\當前用戶\Local Settings\Temp
%System32%   系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是C:\Windows\System32

清除方案

1、使用專業防毒軟體,列入:卡巴斯基,金山,奇虎360,Avast!,AVG,Bitdefender等等
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用ATOOL“進程管理”關閉病毒進程。
(2)使用ATOOL工具“檔案管理“按路徑查找並刪除以下檔案
%system32%\Drivers\sudami.sys
(3)刪除病毒創建的註冊表項
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sudami
刪除Services鍵下的sudami鍵值

相關詞條

熱門詞條

聯絡我們