木馬下載器前仆后繼，AOTU病毒群卷土重來（專殺4月15日升級到1.4版）

更新時間：2008年05月10日 20:50:01 作者：

磁碟機病毒在各安全廠商和媒體的一致喊打聲中突然銷聲匿跡，但這僅僅是盜號集團的暫時退卻，很快，我們發(fā)現(xiàn)又一類利用配置autorun.inf配置自動運行的木馬下載者蜂涌而至，同樣，這些瘋狂的下載者，可一次性下載20-30個盜號木馬，用戶的電腦將面臨又一次蹂躪。

以下是這兩天極度猖獗的AUTO病毒最新變種的分析報告：

一．行為概述
該EXE是病毒下載器，它會：
1）參考系統(tǒng)C盤卷序列號來算出服務名，EXE 和DLL 的文件名。
2）在每一個驅動器下放置AUTO病毒autorun.inf 和自身副本auto.exe 并加系統(tǒng)和隱藏屬性。
3）在系統(tǒng)system32 下放置自身副本“隨機名.exe ”和釋放出來的“隨機名.dll” 并將它們偽裝成具有隱藏屬性的系統(tǒng)文件。
4）修改系統(tǒng)鍵值，將系統(tǒng)隱藏文件選項刪除，造成用戶無法查看隱藏起來的病毒文件。
5）修改系統(tǒng)注冊表，將自己注冊為服務開機啟動。
6）搜索注冊表啟動項里是否有“360”字符串鍵值，有了刪除，并用ntsd 關閉程序，搜索窗口是否含有“金山毒霸”，有了模擬操作關閉。判斷進程里是否有卡巴斯基的文件AVP.EXE，有則修改系統(tǒng)時間，使得卡巴失效。
7）通過網(wǎng)站文件列表下載其它病毒。
8）刪除該病毒以前版本遺留的注冊表信息。
9） “隨機名.dll” 會遠程注入系統(tǒng)進程中的所有進程

二．執(zhí)行流程
1．參考C 盤卷序列號的數(shù)值算出8 位隨機的服務名，exe 和dll 的文件名。（還記得AV終結者嗎？最開始出來就是隨機8位數(shù)文件名的EXE）
2．搜索當前文件名是不是auto.exe，若是調用explorer.exe ShellExecuteA 打開驅動器。
3．對抗殺毒軟件：
    搜索注冊表啟動項里是否有“360”字符串鍵值，有則刪除，使得360以后都無法自動啟動。并緊接著關閉已啟動的360程序。
    檢查當前進程中有沒有卡巴斯基的進程AVP.EXE ，有的話修改系統(tǒng)時間，令依賴系統(tǒng)時間進行激活和升級的卡巴失效。
    病毒還會試圖關閉金山毒霸它查找毒霸的監(jiān)視提示窗口"KAVStart" ，找到后通過PostMessageA 發(fā)送CLOSE 消息，然后用FindWindowExA 搜索"金山毒霸" 通過SendMessageA 發(fā)送關閉消息，以及模擬用戶，發(fā)送點擊鼠標按鍵消息關閉。不過，經(jīng)測試以上方法都不能關閉金山毒霸。

4．比較當前文件運行路徑是不是在系統(tǒng)SYSTEM32 下的隨機名，不是則復制自身副本到系統(tǒng)SYSTEM32 。

5．將DLL注入系統(tǒng)進程，運行之后釋放det.bat 刪除自身

6．病毒文件注入explorer.exe 或winlogon.exe 循環(huán)等待,利用它們的空間運行自己，實現(xiàn)隱蔽運行。

7．查找啟動項里是否有包含360 的字符串，有了刪除，并用SeDebugPrivilege 提升權限和ntsd 關閉程序，搜索窗口是否含有“金山毒霸”，有了模擬操作關閉。

8．篡改注冊表中關于文件夾顯示狀態(tài)的相關數(shù)據(jù)，將系統(tǒng)隱藏文件選項刪除。

9．病毒查找老版本的自己留下的注冊表信息，將其刪除，便于進行升級。

10．從病毒作者指定的地址http://33.xi***id*8.cn/soft/update.txt 下載病毒列表，根據(jù)列表信息去下載其它病毒，每次下載一個，運行后刪除，再接著下載。

在它下載的病毒文件中，有木馬自己的升級文件和某國際知名品牌的網(wǎng)絡語音通訊軟件，另外還包含17個針對不同知名網(wǎng)游的盜號木馬，而在這些木馬中，有一些其本身也具備下載功能。如果它們成功進入電腦，將引發(fā)無法估計的更大破壞。

11．除在本機上進行盜號，病毒還將自己的AUTO病毒文件auto.exe 和autorun.inf 釋放到每一個磁盤分區(qū)里。autorun.inf 指向auto.exe。只要用戶用鼠標雙擊含毒磁盤，病毒就會立即運行，搜索包含U盤等移動存儲器在內的全部磁盤，如果發(fā)現(xiàn)有哪個磁盤尚未中毒，就立刻將其感染，擴大自己的傳染范圍。

三．刪除方法
由于病毒DLL 文件遠程注入包括系統(tǒng)進程在內的所有進程，采取直接刪除的辦法是無法徹底清楚的，必須刪除DLL，同時刪除服務，重起，在進行掃尾刪除，由于該病毒換算需要大量時間，在剛開機時不能馬上釋放DLL 進行注入，此時也是清除的最佳時機。

建議用戶使用金山清理專家將這些隨機8位數(shù)命名的DLL和EXE，添加到文件粉碎器的刪除列表，將這些文件一次性徹底刪除。重啟后，再修復殘留的注冊表加載項。

四．Auto病毒專殺工具

下載地址：http://bbs.duba.net/attachment.php?aid=16127097
auto木馬群專殺1.4功能：

引用:

1、對映像劫持的處理
2、對使毒霸監(jiān)控變灰的msosXXX病毒的處理
3、對auto木馬群下載者處理
4、對Appinit_Dlls處理
5、對執(zhí)行掛鉤的處理

auto木馬群專殺不能代替“磁碟機/機器狗/av終結者專殺”，如果出現(xiàn)專殺被關閉的情況，請先使用“磁碟機/機器狗/av終結者專殺”。

該專殺工具可同時清除機器狗/AV終結者/8749病毒；修復“映像劫持”；修復Autorun.inf；修復安全模式。使用該專殺工具查殺后，請使用金山毒霸進行一次全面殺毒即可。
下載地址：http://www.duba.net/zhuansha/259.shtml