Worm.Win32.AutoRun.ekm

Worm.Win32.AutoRun.ekm,該病毒為蠕蟲類病毒,病毒運行後,調用API函式獲取常用路徑,查找當前標題為:“我的電腦”、“我的電腦”、“My Computer”的窗體,並向該視窗傳送訊息,創建互斥量、拷貝病毒自身%SYSTEM32%目錄下,調用API啟動病毒釋放的檔案,遍歷進程查找QQ.exe、QQDoctor.exe、QQDoctorMain.exe,找到將其進程強行結束,調用CMD命令刪除病毒自身,刪除註冊表項、使系統無法進入安全模式,修改註冊表、使隱藏檔案無法顯示,並使用戶無法更改資料夾選項、添加註冊表病毒啟動項,添加映像劫持、劫持大量安全軟體及系統常用工具,使用了進程互相技術防止病毒進程被結束,連線網路下載惡意病毒檔案。

基本介紹

  • 中文名:Worm.Win32.AutoRun.ekm
  • 類型蠕蟲類病毒
  • 公開範圍: 完全公開
  • 危害等級: 4
病毒標籤,行為分析,清除方案,

病毒標籤

病毒名稱: Worm.Win32.AutoRun.ekm
病毒類型: 蠕蟲
檔案 MD5: 493A917EBA76C506CD0C9F5933542D00
開發工具: Borland Delphi 6.0 - 7.0

行為分析

本地行為
1、調用API函式FindWindowA獲取常用路徑,查找當前標題為:“我的電腦”、“我的電腦”、“My Computer”的窗體,使用PostMessageA函式向該視窗傳送訊息。
2、檔案運行後會釋放以下檔案
%system32%\uvaucd.exe
%system32%\sciony.exe
%system32%\musz1s.dll
%system32%\musz2s.dll
%system32%\nvshfq.dll
%system32%\nvshfq.nls
%system32%\uvaucd.inf
%HomeDrive%\sciony.exe
%HomeDrive%\autorun.inf
3、刪除註冊表、添加註冊表啟動項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
\SHOWALL\CheckedValue
值: DWORD: 1 (0x1)
描述:使用戶無法更改資料夾選項
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network
\{4D36E967-E325-11CE-BFC1-08002BE10318}\@
值: 字元串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
\{4D36E967-E325-11CE-BFC1-08002BE10318}\@
值: 字元串: "DiskDrive"
描述:使系統無法進入安全模式
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
新: DWORD: 0 (0)
舊: DWORD: 1 (0x1)
描述:使系統隱藏檔案設定為不可見
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder
\SuperHidden\Type
新: 字元串: "checkbox2"
舊: 字元串: "checkbox"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\helpsvc\Start
新: DWORD: 4 (0x4)
舊: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Start
新: DWORD: 4 (0x4)
舊: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
\被劫持的軟體名\Debugger
值: 字元串: "ntsd -d"
描述:添加映像劫持,被劫持的列表為:
360rpt.exe、360rpt.exe、360Safe.exe、360Safe.exe、360safebox.exe、360safebox.exe、360tray.exe、360tray.exe、adam.exe、adam.exe、AgentSvr.exe、AgentSvr.exe、AntiU.exe、AntiU.exe、AoYun.exe、AoYun.exe、appdllman.exe、appdllman.exe、AppSvc32.exe、AppSvc32.exe、ArSwp.exe、ArSwp.exe、AST.exe、AST.exe、auto.exe、auto.exe、AutoRun.exe、AutoRun.exe、autoruns.exe、autoruns.exe、av.exe、av.exe、AvastU3.exe、AvastU3.exe、avconsol.exe、avconsol.exe、avgrssvc.exe、avgrssvc.exe、AvMonitor.exe、AvMonitor.exe、avp.com、avp.com、avp.exe、avp.exe、AvU3Launcher.exe、AvU3Launcher.exe、CCenter.exe、CCenter.exe、ccSvcHst.exe、ccSvcHst.exe、cross.exe、cross.exe、Discovery.exe、Discovery.exe、EGHOST.exe、EGHOST.exe、FileDsty.exe、FileDsty.exe、FTCleanerShell.exe、FTCleanerShell.exe、FYFireWall.exe、FYFireWall.exe、ghost.exe、ghost.exe、guangd.exe、guangd.exe、HijackThis.exe、HijackThis.exe、IceSword.exe、IceSword.exe、iparmo.exe、iparmo.exe、Iparmor.exe、Iparmor.exe、irsetup.exe、irsetup.exe、isPwdSvc.exe、isPwdSvc.exe、kabaload.exe、kabaload.exe、KaScrScn.SCR、KaScrScn.SCR、KASMain.exe、KASMain.exe、KASTask.exe、KASTask.exe、KAV32.exe、KAV32.exe、KAVDX.exe、KAVDX.exe、KAVPF.exe、KAVPF.exe、KAVPFW.exe、KAVPFW.exe、KAVSetup.exe、KAVSetup.exe、KAVStart.exe、KAVStart.exe、kernelwind32.exe、kernelwind32.exe、KISLnchr.exe、KISLnchr.exe、kissvc.exe、kissvc.exe、KMailMon.exe、KMailMon.exe、KMFilter.exe、KMFilter.exe、KPFW32.exe、KPFW32.exe、KPFW32X.exe、KPFW32X.exe、KPfwSvc.exe、KPfwSvc.exe、KRegEx.exe、KRegEx.exe、KRepair.com、KRepair.com、KsLoader.exe、KsLoader.exe、KVCenter.kxp、KVCenter.kxp、KvDetect.exe、KvDetect.exe、KvfwMcl.exe、KvfwMcl.exe、KVMonXP.kxp、KVMonXP.kxp、KVMonXP_1.kxp、KVMonXP_1.kxp、kvol.exe、kvol.exe、kvolself.exe、kvolself.exe、KvReport.kxp、KvReport.kxp、KVScan.kxp、KVScan.kxp、KVSrvXP.exe、KVSrvXP.exe、KVStub.kxp、KVStub.kxp、kvupload.exe、kvupload.exe、kvwsc.exe、kvwsc.exe、KvXP.kxp、KvXP.kxp、KvXP_1.kxp、KvXP_1.kxp、KWatch.exe、KWatch.exe、KWatch9x.exe、KWatch9x.exe、KWatchX.exe、KWatchX.exe、loaddll.exe、loaddll.exe、logogo.exe、logogo.exe、MagicSet.exe、MagicSet.exe、mcconsol.exe、mcconsol.exe、mmqczj.exe、mmqczj.exe、mmsk.exe、mmsk.exe、Navapsvc.exe、Navapsvc.exe、Navapw32.exe、Navapw32.exe、NAVSetup.exe、NAVSetup.exe、niu.exe、niu.exe、nod32.exe、nod32.exe、nod32krn.exe、nod32krn.exe、nod32kui.exe、nod32kui.exe、NPFMntor.exe、NPFMntor.exe、pagefile.exe、pagefile.exe、pagefile.pif、pagefile.pif、PFW.exe、PFW.exe、PFWLiveUpdate.exe、PFWLiveUpdate.exe、QHSET.exe、QHSET.exe、QQDoctor.exe、QQDoctor.exe、QQDoctorMain.exe、QQDoctorMain.exe、QQKav.exe、QQKav.exe、QQSC.exe、QQSC.exe、Ras.exe、Ras.exe、Rav.exe、Rav.exe、RavMon.exe、RavMon.exe、RavMonD.exe、RavMonD.exe、RavStub.exe、RavStub.exe、RavTask.exe、RavTask.exe、RegClean.exe、RegClean.exe、regedit.exe、regedit.exe、regedit32.exe、regedit32.exe、rfwcfg.exe、rfwcfg.exe、rfwmain.exe、rfwmain.exe、rfwProxy.exe、rfwProxy.exe、rfwsrv.exe、rfwsrv.exe、RsAgent.exe、RsAgent.exe、Rsaupd.exe、Rsaupd.exe、rstrui.exe、rstrui.exe、runiep.exe、runiep.exe、safelive.exe、safelive.exe、scan32.exe、scan32.exe、ScanU3.exe、ScanU3.exe、SDGames.exe、SDGames.exe、SelfUpdate.exe、SelfUpdate.exe、servet.exe、servet.exe、shcfg32.exe、shcfg32.exe、SmartUp.exe、SmartUp.exe、sos.exe、sos.exe、SREng.EXE、SREng.EXE、SREngPS.EXE、SREngPS.EXE、symlcsvc.exe、symlcsvc.exe、SysSafe.exe、SysSafe.exe、TNT.Exe、TNT.Exe、TrojanDetector.exe、TrojanDetector.exe、Trojanwall.exe、Trojanwall.exe、TrojDie.kxp、TrojDie.kxp、TxoMoU.Exe、TxoMoU.Exe、UFO.exe、UFO.exe、UIHost.exe、UIHost.exe、UmxAgent.exe、UmxAgent.exe、UmxAttachment.exe、UmxAttachment.exe、UmxCfg.exe、UmxCfg.exe、UmxFwHlp.exe、UmxFwHlp.exe、UmxPol.exe、UmxPol.exe、upiea.exe、upiea.exe、UpLive.exe、UpLive.exe、USBCleaner.exe、USBCleaner.exe、vsstat.exe、vsstat.exe、webscanx.exe、webscanx.exe、WoptiClean.exe、WoptiClean.exe、Wsyscheck.exe、Wsyscheck.exe、XDelBox.exe、XDelBox.exe、XP.exe、XP.exe、zjb.exe、zjb.exe、zxsweep.exe、zxsweep.exe、~.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\sciony.exe
值: 字元串: "C:\WINDOWS\system32\sciony.exe"
描述:添加病毒註冊表啟動項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\uvaucd.exe
值: 字元串: "%system32%\uvaucd.exe"
描述:添加病毒註冊表啟動項
4、遍歷進程查找QQ.exe、QQDoctor.exe、QQDoctorMain.exe,找到以後調用TerminateProcess函式將其進程強行結束,使用CMD命令/c del刪除病毒自身,使用了進程互相技術防止病毒進程被結束。
網路行為
協定:TCP
連線埠:80
連線伺服器名:http://a198921.cni****.cn
描述:連線該域名伺服器下載惡意病毒檔案,傳送GET信息請求以下病毒檔案:
GET /11.exe
GET /cs1.exe
GET /cs.exe
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。
%Windir%     WINDODWS所在目錄
%DriveLetter%    邏輯驅動器根目錄
%ProgramFiles%      系統程式默認安裝目錄
%HomeDrive%   當前啟動的系統的所在分區
%Documents and Settings%  當前用戶文檔根目錄
%Temp%  \Documents and Settings
\當前用戶\Local Settings\Temp
%System32%  系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是%WINDOWS%\System
windowsXP中默認的安裝路徑是%system32%

清除方案

1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1)使用ATOOL管理工具,“進程管理“,同時結束uvaucd.exe、 sciony.exe進程。
(2) 強行刪除病毒檔案
%system32%\uvaucd.exe
%system32%\sciony.exe
%system32%\musz1s.dll
%system32%\musz2s.dll
%system32%\nvshfq.dll
%system32%\nvshfq.nls
%system32%\uvaucd.inf
%HomeDrive%\sciony.exe
%HomeDrive%\autorun.inf
(3)恢復註冊表下的安全模式,將以下3個註冊表鍵分別用記事本分別保存為後綴名為.reg的檔案,雙擊導入即可
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder
\Hidden\SHOWALL\CheckedValue
值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network
\{4D36E967-E325-11CE-BFC1-08002BE10318}\@
值: 字元串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
\{4D36E967-E325-11CE-BFC1-08002BE10318}\@
值: 字元串: "DiskDrive"
(4)恢復病毒修改的註冊表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
新: DWORD: 0 (0)
舊: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
\Folder\SuperHidden\Type
新: 字元串: "checkbox2"
舊: 字元串: "checkbox"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\helpsvc\Start
新: DWORD: 4 (0x4)http://control.blog.sina.com.cn/admin/article/article_add.php
舊: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Start
新: DWORD: 4 (0x4)
舊: DWORD: 2 (0x2)
(5)刪除註冊表病毒啟動項、刪除註冊表添加的映像劫持
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\sciony.exe
值: 字元串: "C:\WINDOWS\system32\sciony.exe"
刪除run鍵下的病毒鍵sciony.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\uvaucd.exe
值: 字元串: "%system32%\uvaucd.exe"
刪除run鍵下的病毒鍵uvaucd.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
\被劫持的軟體名\Debugger
值: 字元串: "ntsd -d"
刪除Image File Execution Options鍵下的所有鍵值

熱門詞條

聯絡我們