伪装系统自动更新 Worm.Win32.AutoRun.emj

查看文章

2008年07月19日星期六 22:38

病毒名称： AntiVir： TR/Crypt.FKM.Gen
Kaspersky： Worm.Win32.AutoRun.emj
NOD32v2： Win32/AutoRun.TC
Rising： Trojan.Win32.Autorun.aeo
病毒大小： 15.0 KB (15,443 字节)
MD5码： AAC80D615F41088370A7F865F41CD99F
病毒类型： autorun类木马特洛伊木马
主要传播方式：网络
测试平台： WinXP SP3系统 (默认Shell为BBlean) EQSecurity（HIPS）实机
危害程度：高

病毒行为：

运行后会以命令行调用explorer

2008-07-19 21:49:16 运行应用程序
进程路径:F:\Once\2\update.EXE
文件路径:C:\windows\Explorer.exe
命令行:/idlist,:228:924,F:\
触发规则:所有程序规则->Process protect rule->%windir%\Explorer.EXE

修改系统时间

2008-07-19 21:49:22 修改系统时间
进程路径:F:\Once\2\update.EXE
更改后系统时间:2004-7-19 13:49
触发规则:所有程序规则->*

以命令行运行cacls.exe

2008-07-19 21:49:26 运行应用程序
进程路径:F:\Once\2\update.EXE
文件路径:C:\windows\system32\cacls.exe
命令行:c:\windows\system32\packet.dll /e /p everyone:f
触发规则:所有程序规则->Block APP Run->%windir%\*

2008-07-19 21:49:28 运行应用程序
进程路径:F:\Once\2\update.EXE
文件路径:C:\windows\system32\cacls.exe
命令行:c:\windows\system32\pthreadVC.dll /e /p everyone:f
触发规则:所有程序规则->Block APP Run->%windir%\*

2008-07-19 21:49:29 运行应用程序
进程路径:F:\Once\2\update.EXE
文件路径:C:\windows\system32\cacls.exe
命令行:c:\windows\system32\wpcap.dll /e /p everyone:f
触发规则:所有程序规则->Block APP Run->%windir%\*

2008-07-19 21:49:30 运行应用程序
进程路径:F:\Once\2\update.EXE
文件路径:C:\windows\system32\cacls.exe
命令行:c:\windows\system32\drivers\npf.sys /e /p everyone:f
触发规则:所有程序规则->Block APP Run->%windir%\*

2008-07-19 21:49:32 运行应用程序
进程路径:F:\Once\2\update.EXE
文件路径:C:\windows\system32\cacls.exe
命令行:c:\windows\system32\npptools.dll /e /p everyone:f
触发规则:所有程序规则->Block APP Run->%windir%\*

2008-07-19 21:49:33 运行应用程序
进程路径:F:\Once\2\update.EXE
文件路径:C:\windows\system32\cacls.exe
命令行:c:\windows\system32\drivers\acpidisk.sys /e /p everyone:f
触发规则:所有程序规则->Block APP Run->%windir%\*

2008-07-19 21:49:35 运行应用程序
进程路径:F:\Once\2\update.EXE
文件路径:C:\windows\system32\cacls.exe
命令行:c:\windows\system32\wanpacket.dll /e /p everyone:f
触发规则:所有程序规则->Block APP Run->%windir%\*

2008-07-19 21:49:37 运行应用程序
进程路径:F:\Once\2\update.EXE
文件路径:C:\windows\system32\cacls.exe
命令行:c:\Documents and Settings\All Users\「开始」菜单\程序\启动 /e /p everyone:f
触发规则:所有程序规则->Block APP Run->%windir%\*

访问服务管理器

2008-07-19 21:49:39 访问服务管理器
进程路径:F:\Once\2\update.EXE
触发规则:所有程序规则->*

修改wuauclt1.exe

2008-07-19 21:50:35 修改文件
进程路径:F:\Once\2\update.EXE
文件路径:C:\windows\system32\wuauclt1.exe
触发规则:所有程序规则->File Rule->?:\*.exe

创建病毒文件并修改

2008-07-19 21:49:39 创建文件
进程路径:F:\Once\2\update.EXE
文件路径:C:\windows\system32\dllcache\wuauclt.exe
触发规则:所有程序规则->File Rule->?:\*.exe

2008-07-19 21:51:25 修改文件
进程路径:F:\Once\2\update.EXE
文件路径:C:\windows\system32\dllcache\wuauclt.exe
触发规则:所有程序规则->File Rule->?:\*.exe

调用IE

2008-07-19 21:51:41 运行应用程序
进程路径:F:\Once\2\update.EXE
文件路径:C:\program files\Internet Explorer\IEXPLORE.EXE
触发规则:所有程序规则->Process protect rule->C:\Program Files\Internet Explorer\IEXPLORE.exe

修改IE内存控制IE

2008-07-19 21:51:42 修改其它进程内存
进程路径:F:\Once\2\update.EXE
目标进程:C:\program files\Internet Explorer\IEXPLORE.EXE
触发规则:所有程序规则->Process protect rule->C:\Program Files\Internet Explorer\IEXPLORE.exe

于各盘根目录创建病毒文件及autorun.inf文件

2008-07-19 21:51:42 创建文件
进程路径:F:\Once\2\update.EXE
文件路径:C:\autorun.inf
触发规则:所有程序规则->File Rule->?:\autorun.inf

2008-07-19 21:51:42 创建文件
进程路径:F:\Once\2\update.EXE
文件路径:C:\MSDOS.EXE
触发规则:所有程序规则->File Rule->?:\*.exe

创建注册表

2008-07-19 21:51:42 创建注册表值
进程路径:F:\Once\2\update.EXE
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run
注册表名称:[Key]
触发规则:所有程序规则->其他重要项_普通模式->*\Software\Microsoft\Windows\Currentversion\Policies*

创建大量映象劫持项这里截取几个

2008-07-19 21:51:42 创建注册表值
进程路径:F:\Once\2\update.EXE
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.EXE
注册表名称:[Key]
触发规则:所有程序规则->其他重要项_普通模式->*\SOFTWARE\Microsoft\Windows*\CurrentVersion\Image File Execution Options*

另外包括了主流的安全软件及常用软件程序如：360safe.EXE、360tray.EXE、AVP.EXE、AvMonitor.EXE、CCenter.EXE、IceSword.EXE、Iparmor.EXE、KVMonxp.KXP、KVSrvXP.EXE、KVWSC.EXE、Navapsvc.EXE、Nod32kui.EXE、KRegEx.EXE、Frameworkservice.EXE、Mmsk.EXE、Ast.EXE、WOPTILITIES.EXE、Regedit.EXE、AutoRunKiller.EXE、VPC32.EXE、VPTRAY.EXE、ANTIARP.EXE、KASARP.EXE、RAV.EXE、kwatch.EXE、kmailmon.EXE、kavstart.EXE、Runiep.EXE、GuardField.EXE、GFUpd.EXE、rfwmain.EXE、RavStub.EXE、rfwstub.EXE、rfwProxy.EXE

修改显示隐藏文件/夹选项

2008-07-19 21:51:52 修改注册表内容操作:阻止
进程路径:F:\Once\2\update.EXE
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
注册表名称:CheckedValue
触发规则:所有程序规则->资源管理器_普通模式->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden*

关键行为：

以命令行调用explorer.exe IEXPLORE.exe cacls.exe

与system32\dllcache目录创建exe文件冒充系统自动更新程序

修改系统文件

各盘根目录创建exe autorun.inf文件

映象劫持

HIPS防范对策：

阻止以命令行调用explorer.exe IEXPLORE.exe cacls.exe

阻止在system32\dllcache目录创建exe文件

阻止修改系统文件

阻止各盘根目录创建exe autorun.inf文件

阻止建立映象劫持项

阻止修改显示隐藏文件设置

样本下载：http://soft.deepin.org/read.php?tid=714023

http://bbs.hypost.cn/read.php?tid-267344.html

类别：反病毒 | 添加到搜藏 | 分享到i贴吧 | 浏览() | 评论 (3)

姓　名：	*姓名最长为50字节

网址或邮箱：	(选填)

内　容：

验证码：	请点击后输入四位验证码，字母不区分大小写看不清?
	取消回复