Worm.Win32.AutoRun.enw（ASUS.exe、ACER.exe）手动查杀

最新推荐文章于 2022-12-16 19:01:26 发布

updownboy

最新推荐文章于 2022-12-16 19:01:26 发布

阅读量1.1k

点赞数

文章标签： system 杀毒软件 windows borland 工具 delphi

转自 http://hi.baidu.com/jiol86/blog/item/3da84bc38b230d33e4dd3b25.html

谢谢爬格子的拇指

Worm.Win32.AutoRun.enw（ASUS.exe、ACER.exe）手动查杀

2008-09-04 13:27

病毒名称： Worm.Win32.AutoRun.enw
病毒类型：蠕虫类文件
MD5： 95d052a6fdd3f92b42d571be0fe80892
公开范围：完全公开
危害等级： 5
文件长度： 67,260 字节
感染系统： Windows98以上版本
开发工具： Borland Delphi 6.0 - 7.0
加壳类型： Upack V0.37-V0.39 -> Dwing [Overlay] *
病毒描述：病毒的图标为一个文件夹用来诱骗用户点击运行，病毒运行后释放ASUS.exe、ACER.exe、MuTemp.exe、jxxgmw.exe、jxxgmw.nls到system32文件夹下，其中ASUS.exe、ACER.exe、MuTemp.exe是病毒的副本文件，在病毒运行时同时被运行，实现进程互锁。
jxxgmw.exe和jxxgmw.nls是病毒文件的备份；病毒在各磁盘分区创建autorun.inf和病毒文件，用以达到用U盘等移动存储设备传播的目的；病毒运行后释放beep.sys文件，加载此文件，创建系统服务用来恢复系统的ssdt以此来关闭杀毒软件的主动防御；病毒修改、删除注册表项，使隐藏文件无法显示，并使用户无法更改文件夹选项。
病毒添加注册表，添加自启动项，添加大量的映像劫持项，用来禁止系统工具如注册表编辑器、杀毒软和其他安全工具的运行；病毒连接网络更新自身；病毒运行后自删除。

清除方案

一、使用atool结束病毒进程ASUS.exe，ACER.exe。（注意：由于进程互锁的原因，要一起结束所有运行的病毒进程。）

二、删除病毒文件 %DriveLetter%/ASUS.exe 67,260 字节 %DriveLetter%/autorun.inf 145 字节 %HomeDrive%/ASUS.exe 67,260 字节 %HomeDrive%/autorun.inf 145 字节 %System32%/ASUS.exe 67,260 字节 %System32%/ACER.exe 67,260 字节 %System32%/MuTemp.exe 67,260 字节 %System32%/jxxgmw.exe 67,260 字节 %System32%/jxxgmw.nls 67,260 字节 %System32%/musz1s.dll 594,432 字节 %System32%/musz2s.dll 594,432 字节

三、从其他XP系统的机器上拷贝文件UrlMon.dll放到%System32%目录下。

四、恢复注册表：

（1）用注册表工具删除以下注册表项：
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/] [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/run]
键值: ACER.exe
字符串: "C:/WINDOWS/system32/ACER.exe"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/run]
键值: ASUS.exe
字符串: "C:/WINDOWS/system32/ASUS.exe" [HKLM/System/CurrentControlSet/Services]
项：RESSDT
符串：c:/windows/system32/drivers/beep.sys

（2）将以下项目导入到注册表中：
[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/SafeBoot/Minimal/ {4D36E967-E325-11CE-BFC1-08002BE10318}/]
[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/SafeBoot/Minimal/ {4D 36E967-E325-11CE-BFC1-08002BE10318}/@]
键值:
字符串: "DiskDrive"

[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/SafeBoot/Network/ {4D36E967-E325-11CE-BFC1-08002BE10318}/]
[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/SafeBoot/Network/ {4D36E967-E325-11CE-BFC1-08002BE10318}/@]
键值:
字符串: "DiskDrive"

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot/Minimal/ {4D36E967-E325-11CE-BFC1-08002BE10318}/] [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot/Minimal/ {4D36E967-E325-11CE-BFC1-08002BE10318}/@]
键值:
字符串: "DiskDrive"

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot/Network/ {4D36E967-E325-11CE-BFC1-08002BE10318}/] [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot/Network/ {4D36E967-E325-11CE-BFC1-08002BE10318}/@]
键值:
字符串: "DiskDrive"

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder /Hidden/SHOWALL/CheckedValue]
键值: DWORD: 1 (0x1)

（3）将以下键值改回原键值： [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/ShowSuperHidden]
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/SuperHidden/Type]
新: 字符串: "checkbox2"
旧: 字符串: "checkbox"

来自：卡饭论坛

Worm.Win32.AutoRun.enw（ASUS.exe、ACER.exe）行为分析

2008-09-04 11:59

行为分析-本地行为

1、文件运行后会释放以下文件
%DriveLetter%/ASUS.exe    （67,260 字节）
%DriveLetter%/autorun.inf （145 字节）
%HomeDrive%/ASUS.exe    （67,260 字节）
%HomeDrive%/autorun.inf    （145 字节）
%System32%/ASUS.exe       （67,260 字节）
%System32%/ACER.exe       （67,260 字节）
%System32%/MuTemp.exe （67,260 字节）
%System32%/jxxgmw.exe     （67,260 字节）
%System32%/jxxgmw.nls      （67,260 字节）

以下两个文件为系统文件UrlMon.dll，被病毒更改名称为：
%System32%/musz1s.dll (594,432 字节）
%System32%/musz2s.dll (594,432 字节）

2、进程互锁病毒同时运行2个文件副本ASUS.exe和ACER.exe，当结束其中一个的时候，立即刷新另一个进程重新运行病毒副本，用剩下进程加载另一个文件，实现进程互锁。

3、病毒在各磁盘根目录下建立病毒文件ASUS.exe和autorun.inf文件,实现双击盘符时运行病毒，及移动存储设备传播的目的，autorun.inf内容如下：
[AutoRun]   shell/open=打开(&O)
                   shell/open/Command=ASUS.exe
                  shell/open/Default=1
                  shell/explore=资源管理器(&X)
                  shell/explore/Command=ASUS.exe

4、还原ssdt 病毒加载beep.sys文件用其还原系统ssdt使杀毒软件的主动防御失效，并将其添加到服务当中，是系统每次重新启动都会加载次驱动，实现杀毒软件的永久失效。

5、删除注册表项，破坏安全模式：
[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/SafeBoot/Minimal/ {4D36E967-E325-11CE-BFC1-08002BE10318}/]
[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/SafeBoot/Minimal/ {4D36E967-E325-11CE-BFC1-08002BE10318}/@]
键值: 字符串: "DiskDrive"

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot/Minimal/ {4D36E967-E325-11CE-BFC1-08002BE10318}/]
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot/Minimal/ {4D36E967-E325-11CE-BFC1-08002BE10318}/@]
键值: 字符串: "DiskDrive"

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot/Network/ {4D36E967-E325-11CE-BFC1-08002BE10318}/]
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot/Network/ {4D36E967-E325-11CE-BFC1-08002BE10318}/@]
键值: 字符串: "DiskDrive"

6、通过修改注册表隐藏文件 [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/. Folder/Hidden/SHOWALL/CheckedValue]
键值: DWORD: 1 (0x1)

[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/ShowSuperHidden] 新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/SuperHidden/Type]
新: 字符串: "checkbox2"
旧: 字符串: "checkbox"

7、添加启动项 [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/run]
键值: ACER.exe
字符串: "C:/WINDOWS/system32/ACER.exe"

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/run]
键值: ASUS.exe
字符串: "C:/WINDOWS/system32/ASUS.exe"

[HKLM/System/CurrentControlSet/Services]
项：RESSDT
字符串：c:/windows/system32/drivers/beep.sys

8、映像劫持
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/360rpt.exe]
注册表值: "Debugger"
类型： REG_SZ
值： "ntsd -d"

同时劫持的字串有：

360rpt.exe	360Safe.exe	360safebox.exe	360tray.exe	adam.exe
AgentSvr.exe	AntiU.exe	AoYun.exe	appdllman.exe	AppSvc32.exe
ArSwp.exe	AST.exe	auto.exe	AutoRun.exe	autoruns.exe
av.exe	AvastU3.exe	avconsol.exe	avgrssvc.exe	AvMonitor.exe
avp.com	avp.exe	AvU3Launcher.exe	CCenter.exe	ccSvcHst.exe
Cleanup.dll	cqw32.exe	cross.exe	Discovery.exe	divx.dll
divxdec.ax	DJSMAR00.dll	DRMINST.dll	EGHOST.exe	EncodeDivXExt.dll
EncryptPatchVer.dll	FileDsty.exe	FTCleanerShell.exe	fullsoft.dll	FYFireWall.exe
GBROWSER.DLL	ghost.exe	guangd.exe	HijackThis.exe	htmlmarq.ocx
htmlmm.ocx	IceSword.exe	iparmo.exe	Iparmor.exe	irsetup.exe
ishscan.dll	isPwdSvc.exe	ISSTE.dll	javai.dll	jvm_g.dll
kabaload.exe	KaScrScn.SCR	KASMain.exe	KASTask.exe	KAV32.exe
KAVDX.exe	KAVPF.exe	KAVPFW.exe	KAVSetup.exe	KAVStart.exe
kernelwind32.exe	KISLnchr.exe	kissvc.exe	KMailMon.exe	KMFilter.exe
KPFW32.exe	KPFW32X.exe	KPfwSvc.exe	KRegEx.exe	KRepair.com
KsLoader.exe	KVCenter.kxp	KvDetect.exe	KvfwMcl.exe	KVMonXP.kxp
KVMonXP_1.kxp	kvol.exe	kvolself.exe	KvReport.kxp	KVScan.kxp
KVSrvXP.exe	KVStub.kxp	kvupload.exe	kvwsc.exe	KvXP.kxp
KvXP_1.kxp	KWatch.exe	KWatch9x.exe

其中包括系统工具、各杀毒软件和安全工具。

行为分析-网络行为：
病毒连接网络，更新自身连接地址：60.190.253.*** 病毒运行后向远程计算机60.190.253.***发送请求，要求更新病毒程序，当对比发现本地病毒版本较低时，从远程计算机下载新版本病毒。

注：
%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:/Winnt/System32
windows95/98/me中默认的安装路径是C:/Windows/System
windowsXP中默认的安装路径是C:/Windows/System32。
%Temp% = C:/Documents and Settings/AAAAA/Local Settings/Temp 当前用户TEMP缓存变量
%Windir%/ WINDODWS所在目录
%DriveLetter%/ 逻辑驱动器根目录
%ProgramFiles%/ 系统程序默认安装目录
%HomeDrive% = C:/ 当前启动的系统的所在分区
%Documents and Settings%/ 当前用户文档根目录

来自：卡饭论坛

updownboy

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
Worm.Win32.AutoRun.enw（ASUS.exe、ACER.exe）手动查杀

转自 http://hi.baidu.com/jiol86/blog/item/3da84bc38b230d33e4dd3b25.html 谢谢爬格子的拇指Worm.Win32.AutoRun.enw（ASUS.exe、ACER.exe）手动查杀2008-09-04 13:27病毒名称： Worm.Win32.AutoRun.enw病毒类型：蠕虫类
复制链接

扫一扫