以下是這兩天極度猖獗的AUTO病毒最新變種的分析報(bào)告：

一．行為概述
該EXE是病毒下載器，它會(huì)：
1） 參考系統(tǒng)C盤卷序列號(hào)來算出服務(wù)名，EXE 和DLL 的文件名。
2） 在每一個(gè)驅(qū)動(dòng)器下放置AUTO病毒autorun.inf 和自身副本auto.exe 并加系統(tǒng)和隱藏屬性。
3） 在系統(tǒng)system32 下放置自身副本“隨機(jī)名.exe ”和釋放出來的“隨機(jī)名.dll” 并將它們偽裝成具有隱藏屬性的系統(tǒng)文件。
4） 修改系統(tǒng)鍵值，將系統(tǒng)隱藏文件選項(xiàng)刪除，造成用戶無法查看隱藏起來的病毒文件。
5） 修改系統(tǒng)注冊(cè)表，將自己注冊(cè)為服務(wù)開機(jī)啟動(dòng)。
6） 搜索注冊(cè)表啟動(dòng)項(xiàng)里是否有“360”字符串鍵值，有了刪除，并用ntsd 關(guān)閉程序，搜索窗口是否含有“金山毒霸”，有了模擬操作關(guān)閉。判斷進(jìn)程里是否有卡巴斯基的文件AVP.EXE， 有則修改系統(tǒng)時(shí)間，使得卡巴失效。
7） 通過網(wǎng)站文件列表下載其它病毒。
8） 刪除該病毒以前版本遺留的注冊(cè)表信息。
9） “隨機(jī)名.dll” 會(huì)遠(yuǎn)程注入系統(tǒng)進(jìn)程中的所有進(jìn)程

二．執(zhí)行流程
1． 參考C 盤卷序列號(hào)的數(shù)值算出8 位隨機(jī)的服務(wù)名，exe 和dll 的文件名。（還記得AV終結(jié)者嗎？最開始出來就是隨機(jī)8位數(shù)文件名的EXE）
2． 搜索當(dāng)前文件名是不是auto.exe，若是調(diào)用explorer.exe ShellExecuteA 打開驅(qū)動(dòng)器。
3． 對(duì)抗殺毒軟件：
    搜索注冊(cè)表啟動(dòng)項(xiàng)里是否有“360”字符串鍵值，有則刪除，使得360以后都無法自動(dòng)啟動(dòng)。并緊接著關(guān)閉已啟動(dòng)的360程序。
    檢查當(dāng)前進(jìn)程中有沒有卡巴斯基的進(jìn)程AVP.EXE ，有的話修改系統(tǒng)時(shí)間，令依賴系統(tǒng)時(shí)間進(jìn)行激活和升級(jí)的卡巴失效。
    病毒還會(huì)試圖關(guān)閉金山毒霸它查找毒霸的監(jiān)視提示窗口"KAVStart" ，找到后通過PostMessageA 發(fā)送CLOSE 消息，然后用FindWindowExA 搜索"金山毒霸" 通過SendMessageA 發(fā)送關(guān)閉消息，以及模擬用戶，發(fā)送點(diǎn)擊鼠標(biāo)按鍵消息關(guān)閉。不過，經(jīng)測(cè)試以上方法都不能關(guān)閉金山毒霸。

4． 比較當(dāng)前文件運(yùn)行路徑是不是在系統(tǒng)SYSTEM32 下的隨機(jī)名，不是則復(fù)制自身副本到系統(tǒng)SYSTEM32 。

5． 將DLL注入系統(tǒng)進(jìn)程，運(yùn)行之后釋放det.bat 刪除自身

6． 病毒文件注入explorer.exe 或winlogon.exe 循環(huán)等待,利用它們的空間運(yùn)行自己，實(shí)現(xiàn)隱蔽運(yùn)行。

7． 查找啟動(dòng)項(xiàng)里是否有包含360 的字符串，有了刪除，并用SeDebugPrivilege 提升權(quán)限和ntsd 關(guān)閉程序，搜索窗口是否含有“金山毒霸”，有了模擬操作關(guān)閉。

8．篡改注冊(cè)表中關(guān)于文件夾顯示狀態(tài)的相關(guān)數(shù)據(jù)，將系統(tǒng)隱藏文件選項(xiàng)刪除。

9． 病毒查找老版本的自己留下的注冊(cè)表信息，將其刪除，便于進(jìn)行升級(jí)。

10． 從病毒作者指定的地址http://33.xi***id*8.cn/soft/update.txt 下載病毒列表，根據(jù)列表信息去下載其它病毒，每次下載一個(gè)，運(yùn)行后刪除，再接著下載。

在它下載的病毒文件中，有木馬自己的升級(jí)文件和某國際知名品牌的網(wǎng)絡(luò)語音通訊軟件，另外還包含17個(gè)針對(duì)不同知名網(wǎng)游的盜號(hào)木馬，而在這些木馬中，有一些其本身也具備下載功能。如果它們成功進(jìn)入電腦，將引發(fā)無法估計(jì)的更大破壞。

11．除在本機(jī)上進(jìn)行盜號(hào)，病毒還將自己的AUTO病毒文件auto.exe 和autorun.inf 釋放到每一個(gè)磁盤分區(qū)里。autorun.inf 指向auto.exe。只要用戶用鼠標(biāo)雙擊含毒磁盤，病毒就會(huì)立即運(yùn)行，搜索包含U盤等移動(dòng)存儲(chǔ)器在內(nèi)的全部磁盤，如果發(fā)現(xiàn)有哪個(gè)磁盤尚未中毒，就立刻將其感染，擴(kuò)大自己的傳染范圍。

三．刪除方法
由于病毒DLL 文件遠(yuǎn)程注入包括系統(tǒng)進(jìn)程在內(nèi)的所有進(jìn)程，采取直接刪除的辦法是無法徹底清楚的，必須刪除DLL，同時(shí)刪除服務(wù)，重起，在進(jìn)行掃尾刪除，由于該病毒換算需要大量時(shí)間，在剛開機(jī)時(shí)不能馬上釋放DLL 進(jìn)行注入，此時(shí)也是清除的最佳時(shí)機(jī)。

建議用戶使用金山清理專家將這些隨機(jī)8位數(shù)命名的DLL和EXE，添加到文件粉碎器的刪除列表，將這些文件一次性徹底刪除。重啟后，再修復(fù)殘留的注冊(cè)表加載項(xiàng)。

四．Auto病毒專殺工具


下載地址：http://bbs.duba.net/attachment.php?aid=16127097
auto木馬群專殺1.4功能：


引用:

1、對(duì)映像劫持的處理
2、對(duì)使毒霸監(jiān)控變灰的msosXXX病毒的處理
3、對(duì)auto木馬群下載者處理
4、對(duì)Appinit_Dlls處理
5、對(duì)執(zhí)行掛鉤的處理

auto木馬群專殺不能代替“磁碟機(jī)/機(jī)器狗/av終結(jié)者專殺”，如果出現(xiàn)專殺被關(guān)閉的情況，請(qǐng)先使用“磁碟機(jī)/機(jī)器狗/av終結(jié)者專殺”。


該專殺工具可同時(shí)清除機(jī)器狗/AV終結(jié)者/8749病毒；修復(fù)“映像劫持”；修復(fù)Autorun.inf；修復(fù)安全模式。使用該專殺工具查殺后，請(qǐng)使用金山毒霸進(jìn)行一次全面殺毒即可。
下載地址：http://www.duba.net/zhuansha/259.shtml

最新評(píng)論