Worm.Win32.AutoRun.egq毒屬蠕蟲類,病毒運行後,複製自身到各驅動器根目錄和%System32%下,更名
為nktokedn.exe,並衍生autorun,inf檔案,複製自身到%System32%下,更名為
nfpdduax.exe;並在%System32%下衍生病毒檔案,修改註冊表,添加兩處啟動項,針對
安全軟體添加大量映像劫持;修改註冊表,將部分服務的啟動方式設定為“已禁用”,使
“資料夾選項”中“隱藏受保護的作業系統檔案(推薦)”選項不可見,將隱藏檔案的顯
示方式更改為“不顯示隱藏檔案和資料夾”;刪除相關註冊表項,使資料夾選項中“顯示
隱藏檔案和資料夾選項” 不可見,刪除註冊表安全模式啟動下驅動載入項,使感染機器無
法啟動安全模式;連線網路下載病毒檔案並運行, 病毒運行完畢後,刪除自身。
基本介紹
- 外文名:Worm.Win32.AutoRun.egq
- 病毒類型: 蠕蟲
- 公開範圍:完全公開
- 危害等級: 4
病毒標籤:,行為分析:,清除方案:,
病毒標籤:
病毒名稱: Worm.Win32.AutoRun.egq
檔案 MD5: B4517E322F1EA374587DF696FA06D8B8
檔案長度: 35,745 位元組
感染系統: Windows98以上版本
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: FSG 2.0
行為分析:
本地行為:
1、檔案運行後會釋放以下檔案:
%DriveLetter%\nktokedn.exe 35,745 位元組
%DriveLetter%\autorun.inf 153 位元組
%HomeDrive%\nktokedn.exe 35,745 位元組
%HomeDrive%\autorun.inf 153 位元組
%System32%\nfpdduax.inf 153 位元組
%System32%\nktokedn.exe 35,745 位元組
%System32%\nfpdduax.exe 35,745 位元組
%System32%\fgayml.nls 35,745 位元組
%System32%\fgayml.dll 35,745 位元組
2、新增註冊表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run]
註冊表值: "nfpdduax.exe"
類型: REG_SZ
值: "C:\WINDOWS\system32\nfpdduax.exe"
描述:啟動項,使病毒檔案隨系統啟動
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run]
註冊表值: "nktokedn.exe"
類型: REG_SZ
值: "C:\WINDOWS\system32\nktokedn.exe"
描述:啟動項,使病毒檔案隨系統啟動
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows NT\CurrentVersion
\Image File Execution Options\劫持的檔案名稱稱]
註冊表值: "Debugger"
類型: REG_SZ
值:"ntsd -d"
描述:映像劫持,使被感染機器在執行指定的檔案名稱時,
將執行病毒檔案。
劫持的檔案名稱列表如下:
360rpt.exe、360Safe.exe、360tray.exe、adam.exe、
AgentSvr.exe、AntiU.exe、AoYun.exe、appdllman.exe、
AppSvc32.exe、ArSwp.exe、AST.exe、auto.exe、
AutoRun.exe、autoruns.exe、av.exe、AvastU3.exe、
avconsol.exe、avgrssvc.exe、AvMonitor.exe、
avp.com、avp.exe、AvU3Launcher.exe、CCenter.exe、
ccSvcHst.exe、cross.exe、Discovery.exe、
DubaTool_AV_Killer72.COM、EGHOST.exe、FileDsty.exe、
FTCleanerShell.exe、FYFireWall.exe、ghost.exe、
guangd.exe、HijackThis.exe、IceSword.exe、
iparmo.exe、Iparmor.exe、irsetup.exe、isPwdSvc.exe、
kabaload.exe、KaScrScn.SCR、KASMain.exe、
KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、
KAVPFW.exe、KAVSetup.exe、KAVStart.exe、
kernelwind32.exe、KISLnchr.exe、kissvc.exe、
KMailMon.exe、KMFilter.exe、KPFW32.exe、KPFW32X.exe、
KPfwSvc.exe、KRegEx.exe、KRepair.com、KsLoader.exe、
KVCenter.kxp、KvDetect.exe、KvfwMcl.exe、KVMonXP.kxp、
KVMonXP_1.kxp、kvol.exe、kvolself.exe、KvReport.kxp、
KVScan.kxp、KVSrvXP.exe、KVStub.kxp、kvupload.exe、
kvwsc.exe、KvXP.kxp、KvXP_1.kxp、KWatch.exe、
KWatch9x.exe、KWatchX.exe、loaddll.exe、logogo.exe、
MagicSet.exe、mcconsol.exe、mmqczj.exe、mmsk.exe、
msconfig.exe、Navapsvc.exe、Navapw32.exe、
NAVSetup.exe、niu.exe、nod32.exe、nod32krn.exe、
nod32kui.exe、NPFMntor.exe、pagefile.exe、
pagefile.pif、PFW.exe、PFWLiveUpdate.exe、
QHSET.exe、QQDoctor.exe、QQDoctorMain.exe、
QQKav.exe、QQSC.exe、Ras.exe、Rav.exe、RavMon.exe、
RavMonD.exe、RavStub.exe、RavTask.exe、RegClean.exe、
regedit.exe、regedit32.exe、rfwcfg.exe、rfwmain.exe、
rfwProxy.exe、rfwsrv.exe、RsAgent.exe、Rsaupd.exe、
rstrui.exe、runiep.exe、safelive.exe、scan32.exe、
ScanU3.exe、SDGames.exe、SelfUpdate.exe、servet.exe、
shcfg32.exe、SmartUp.exe、sos.exe、SREng.EXE、
SREngPS.EXE、symlcsvc.exe、SysSafe.exe、TNT.Exe、
TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、
TxoMoU.Exe、UFO.exe、UIHost.exe、UmxAgent.exe、
UmxAttachment.exe、UmxCfg.exe、UmxFwHlp.exe、
UmxPol.exe、upiea.exe、UpLive.exe、USBCleaner.exe、
vsstat.exe、webscanx.exe、WoptiClean.exe、
Wsyscheck.exe、XDelBox.exe、XP.exe、zjb.exe、
zxsweep.exe、~.exe
3、修改註冊表:
[HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\Explorer\Advanced]
新建鍵值:DWORD:"ShowSuperHidden"="0"
原鍵值:DWORD:"ShowSuperHidden"="1"
新: DWORD: 0 (0)
舊: DWORD: 1 (0x1)
描述:不顯示系統檔案
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer
\Advanced\Folder\SuperHidden]
新建鍵值:字串:"Type"="checkbox2"
原鍵值:字串:"Type"="checkbox"
描述:使“資料夾選項”中“隱藏受保護的作業系統檔案(推薦)”
選項不可見
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\helpsvc]
新建鍵值:DWORD:"Start"="4"
原鍵值:DWORD:"Start"="2"
描述:禁用系統幫助服務
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\SharedAccess]
新建鍵值:DWORD:"Start"="4"
原鍵值:DWORD:"Start"="2"
描述:禁用系統防火牆服務
4、刪除註冊表鍵值:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer
\Advanced\Folder\Hidden\SHOWALL]
註冊表值: "CheckedValue"
類型:DWORD
值: "1"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Control\SafeBoot\Minimal
\]
註冊表值: "@"
類型: REG_SZ
值: "DiskDrive"
描述:安全模式啟動需要載入的相關驅動
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Control\SafeBoot\Network
\]
註冊表值: "@"
類型: REG_SZ
值: "DiskDrive"
描述:安全模式啟動需要載入的相關驅動
[HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Control
\SafeBoot\Minimal
\]
註冊表值: "@"
類型: REG_SZ
值: "DiskDrive"
描述:安全模式啟動需要載入的相關驅動
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SafeBoot\Network
\]
註冊表值: "@"
類型: REG_SZ
值: "DiskDrive"
描述:安全模式啟動需要載入的相關驅動
網路行為:
1、連線網路下載病毒檔案:
http://xiaodao****.1cs.cn/serverovr.exe 檔案錯誤,無法運行。
http://xiaodao****.1cs.cn /1.exe 無法下載
http://xiaodao****.1cs.cn /2.exe 無法下載
http://xiaodao****.1cs.cn /3.exe 無法下載
http://xiaodao****.1cs.cn /4.exe 無法下載
http://xiaodao****.1cs.cn /5.exe 無法下載
http://xiaodao****.1cs.cn /6.exe 無法下載
http://xiaodao****.1cs.cn /7.exe 無法下載
http://xiaodao****.1cs.cn /8.exe 無法下載
http://xiaodao****.1cs.cn /9.exe 無法下載
註: %System32% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System資料夾的
位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings
\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是C:\Windows\System32
清除方案:
2 、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
nktokedn.exe、nfpdduax.exe
(2)刪除病毒檔案:
%DriveLetter%\nktokedn.exe
%DriveLetter%\autorun.inf
%HomeDrive%\nktokedn.exe
%HomeDrive%\autorun.inf
%System32%\nfpdduax.inf
%System32%\nktokedn.exe
%System32%\nfpdduax.exe
%System32%\fgayml.nls
%System32%\fgayml.dll
(3)恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項:
<1> 刪除註冊表項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run]
註冊表值: "nfpdduax.exe"
類型: REG_SZ
值: "C:\WINDOWS\system32\nfpdduax.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run]
註冊表值: "nktokedn.exe"
類型: REG_SZ
值: "C:\WINDOWS\system32\nktokedn.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows NT\CurrentVersion
\Image File Execution Options
\劫持的檔案名稱稱]
註冊表值: "Debugger"
類型: REG_SZ
值:"ntsd -d"
劫持的檔案名稱列表如下:
360rpt.exe、360Safe.exe、360tray.exe、
adam.exe、AgentSvr.exe、AntiU.exe、
AoYun.exe、appdllman.exe、AppSvc32.exe、
ArSwp.exe、AST.exe、auto.exe、AutoRun.exe、
autoruns.exe、av.exe、AvastU3.exe、
avconsol.exe、avgrssvc.exe、AvMonitor.exe、
avp.com、avp.exe、AvU3Launcher.exe、
CCenter.exe、ccSvcHst.exe、cross.exe、
Discovery.exe、DubaTool_AV_Killer72.COM、
EGHOST.exe、FileDsty.exe、FTCleanerShell.exe、
FYFireWall.exe、ghost.exe、guangd.exe、
HijackThis.exe、IceSword.exe、iparmo.exe、
Iparmor.exe、irsetup.exe、isPwdSvc.exe、
kabaload.exe、KaScrScn.SCR、KASMain.exe、
KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、
KAVPFW.exe、KAVSetup.exe、KAVStart.exe、
kernelwind32.exe、KISLnchr.exe、kissvc.exe、
KMailMon.exe、KMFilter.exe、KPFW32.exe、
KPFW32X.exe、KPfwSvc.exe、KRegEx.exe、
KRepair.com、KsLoader.exe、KVCenter.kxp、
KvDetect.exe、KvfwMcl.exe、KVMonXP.kxp、
KVMonXP_1.kxp、kvol.exe、kvolself.exe、
KvReport.kxp、KVScan.kxp、KVSrvXP.exe、
KVStub.kxp、kvupload.exe、kvwsc.exe、
KvXP.kxp、KvXP_1.kxp、KWatch.exe、KWatch9x.exe、
KWatchX.exe、loaddll.exe、logogo.exe、
MagicSet.exe、mcconsol.exe、mmqczj.exe、
mmsk.exe、msconfig.exe、Navapsvc.exe、
Navapw32.exe、NAVSetup.exe、niu.exe、
nod32.exe、nod32krn.exe、nod32kui.exe、
NPFMntor.exe、pagefile.exe、pagefile.pif、
PFW.exe、PFWLiveUpdate.exe、QHSET.exe、
QQDoctor.exe、QQDoctorMain.exe、QQKav.exe、
QQSC.exe、Ras.exe、Rav.exe、RavMon.exe、
RavMonD.exe、RavStub.exe、RavTask.exe、
RegClean.exe、regedit.exe、regedit32.exe、
rfwcfg.exe、rfwmain.exe、rfwProxy.exe、
rfwsrv.exe、RsAgent.exe、Rsaupd.exe、
rstrui.exe、runiep.exe、safelive.exe、
scan32.exe、ScanU3.exe、SDGames.exe、
SelfUpdate.exe、servet.exe、shcfg32.exe、
SmartUp.exe、sos.exe、SREng.EXE、SREngPS.EXE、
symlcsvc.exe、SysSafe.exe、TNT.Exe、
TrojanDetector.exe、Trojanwall.exe、
TrojDie.kxp、TxoMoU.Exe、UFO.exe、UIHost.exe、
UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、
UmxFwHlp.exe、UmxPol.exe、upiea.exe、
UpLive.exe、USBCleaner.exe、vsstat.exe、
webscanx.exe、WoptiClean.exe、Wsyscheck.exe、
XDelBox.exe、XP.exe、zjb.exe、
zxsweep.exe、~.exe
<2> 還原刪除的註冊表項
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer
\Advanced\Folder\Hidden\SHOWALL]
註冊表值: "CheckedValue"
類型:DWORD
值: "1"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Control\SafeBoot\Minimal
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
註冊表值: "@"
類型: REG_SZ
值: "DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Control\SafeBoot\Network
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
註冊表值: "@"
類型: REG_SZ
值: "DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SafeBoot\Minimal
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
註冊表值: "@"
類型: REG_SZ
值: "DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SafeBoot\Network
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
註冊表值: "@"
類型: REG_SZ
值: "DiskDrive"
<3> 恢復修改的註冊表項
[HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\Explorer\Advanced]
新建鍵值:DWORD:"ShowSuperHidden"="0"
原鍵值:DWORD:"ShowSuperHidden"="1"
新: DWORD: 0 (0)
舊: DWORD: 1 (0x1)
描述:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer
\Advanced\Folder\SuperHidden]
新建鍵值:字串:"Type"="checkbox2"
原鍵值:字串:"Type"="checkbox"
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\helpsvc]
新建鍵值:DWORD:"Start"="4"
原鍵值:DWORD:"Start"="2"
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\SharedAccess]
新建鍵值:DWORD:"Start"="4"
原鍵值:DWORD:"Start"="2"