磁碟机Virus.Win32.Xorer.aex

Nblock

病毒名称 Virus.Win32.Xorer.aex 捕获时间 2008-03-20 病毒症状 　　该程序是使用VC编写的病毒程序，由微点主动防御软件自动捕获，采用UPX加壳方式试图躲避特征码扫描，加壳后长度为94,208字节，图标为Windows默认可执行文件图标，病毒扩展名为exe，主要通过网页木马、文件感染、移动存储介质方式传播。 病毒分析 动作一： 该样本程序被执行后,查找窗口名或类名为如下字符的窗口，试图通过API函数GetWindowThreadProcessId、OpenProcess、TerminateProcess将其关闭，同时发送大量的垃圾消息，造成含有如下窗口的进程无法处理消息自行退出；创建名为“cdocuments and settingsadministrator桌面setupsetupexe”的互斥体，防止系统中有多个病毒进程在运行。   Quote: 免疫 江民 杀毒 病毒 Avast TtabSheet 进程管理 TpageControl Copylock TsuiForm 版 墙 云 防 Frame 狙剑 微点 AfxControlBar42s Tapplication 费尔 Antivir ThunderRT6Timer thunderrt6formdc 升级 木 thunderrt6main eset mcafee afx: arp avg facelesswndproc bitdefender ewido 具诊 #32770 Monitor Onit Afet Yst mcagent.escan firewall dr.web metapad mozillauiwindowclass cabinetwclass ieframe diskgen dummycom xorer 磁碟机 pagefile.pif smss.exe lsass.exe 360安全 修改如下注册表键值隐藏病毒文件使其不能被显示出来、开启Windows自动播放功能利用其传播病毒。   Quote: 项：HKCU\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Explorer\Advanced\ 键值：ShowSuperHidden 指向数据：00 项：HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ 键值：NoDriveTypeAutoRun 指向变量：95 删除如下注册表项实现突破映像劫持、组策略的免疫方式：   Quote: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy Objects" 删除安全模式对应的键值使用户不能通过安全模式删除病毒文件和修复系统：   Quote: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} 通过API函数GetSystemDirectoryA、GetUserNameA获取系统目录与当前用户名，调用Cacls .exe为系统目录下com子目录赋予当前用户的完全控制权限，如果存在与病毒名相同的文件或文件夹则删除；在目录C:\下释放驱动文件NetApi000.sys，修改文件属性为隐藏和系统；添加SeDebugPrivilege特权令牌，获取调试权限，使得任务管理器无法将其结束；调用SCM写注册表项将NetApi000.sys注册成名为NetApi000的服务，通过相关函数启动被注册的服务加载驱动，加载成功后使用API函数DeleteService将服务NetApi000删除，通过驱动恢复系统分发表将所有系统服务重置，从而使多种病毒监控程序失效；   Quote: 项：HKLM\SYSTEM\CurrentControlSet\Services\NetApi000\ 键值：DisplayName 指向数据：NetApi000 项：HKLM\SYSTEM\CurrentControlSet\Services\ NetApi000\ 键值：ImagePath 指向文件：\??\C:\NetApi000.sys 项：HKLM\SYSTEM\CurrentControlSet\Services\ NetApi000\ 键值：Start 指向数据：03 遍历有如下字符串的进程将其关闭：   Quote: Kmailmon Guard Scan Kissvc Watch Kv Twister Avp rav 调用API函数SHDeleteKeyA将如下服务删除；拷贝自身到%ALLUSERSPROFILE%\「开始」菜单\程序\启动目录下，重命名为~.exe.*******.exe；添加SeShutdownPrivilege特权令牌，获取关机权限，使用API函数ExitWindowsEx强制关机重启。   Quote: MPSVCService AntiVirService AVP KWatchSvc Ekrn SymEvent PAVSRV Tmmbd McShield RsRavMon EQService KSysMon 动作二： ~.exe.*******.exe运行后，创建名为“cdocuments and settingsall userswinnt「开始」菜单程序启动~exe3706156exe ”的互斥体，防止系统中有多个病毒进程在运行；删除注册表自启动项以使系统中安全软件不能一起随系统启动；将自身拷贝到%systemroot%\system32\com目录下，重命名为lsass.exe；通过API函数CreateProcessA运行lsass.exe。之后执行自删除操作，当系统注销时再次将lsass.exe的拷贝复制到启动目录下，实现下次病毒自启动。 动作三： %systemroot%\system32\com\lsass.exe运行后，创建名为“cwinntsystem32comlsassexe”的互斥体，防止系统中有多个病毒进程在运行；检测文件夹下是否存在免疫文件，如果存在执行“动作一”中相关动作删除免疫；在com目录下释放文件netcfg.000、netcfg.dll与smss.exe；在%systemroot%\system32目录下释放动态库dnsq.dll，通过regsvr32.exe /s /c将dnsq.dll注册，并将dnsq.dll添加到AppInit_DLLs键值下，当创建进程时被自动加载，安装全局钩子，以独占方式打开boot.ini与host文件，使得其它线程无法操作这两个文件；之后重复“动作一”中相关动作。   Quote: 项：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ 键值：AppInit_DLLs 指向数据：dnsq.dll 动作四： 枚举磁盘类型将所有分区下autorun.inf删除；在各分区释放autorun.inf文件，通过API函数CreateProcessA执行cmd.exe /C %systemroot%\system32\com\smss.exe %systemroot%\system32\com\lsass.exe ^|C:\pagefile.pif在各分区中以覆盖形式释放隐藏病毒文件pagefile.pif，使用Windows自动播放功能来传播病毒；拷贝lsass.exe为~.exe到启动目录下，通过调用API函数CreateProcessA将smss.exe作为模块名，运行%ALLUSERSPROFILE%\「开始」菜单\程序\启动\~.exe；实现进程互守；枚举磁盘从驱动器跳过操作系统分区查找所有文件类型，对exe；rar、zip；js等类型文件进行感染，感染方式如下： 1、判断文件扩展名为exe时，将病毒体写入到com目录下临时文件“~”中，再将待感染文件以88k和4k经过Xor指令加密后的数据交替追加到临时文件“~”中，最后再次把病毒体读取内存，取4k代码写入临时文件“~”中，感染过程完毕；通过API函数CreateProcessA执行cmd.exe /C %systemroot%\system32\com\smss.exe %systemroot%\system32\com\~ ^|待感染文件。 2、判断文件扩展名为zip或rar的时候，查找注册表相关键值取得rar.exe的绝对路径，调用rar命令行参数将文件解压后重复1感染动作，感染完毕后再打包压回。 3、判断扩展名为js的文件时，在文件内插入包含“h**p://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%6%73%701”的框架，解密后为h**p://js.k0102.com/01.asp。                                               Autorun.inf文件内容如下：   Quote: [AutoRun] open=pagefile.pif shell\open=打开(&O) shell\open\Command=pagefile.pif shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\Command=pagefile.pif 动作五： 将如下两个网址作为参数，通过API函数CreateProcessA访问这两个网站显示广告信息。   Quote: h**p://d.gxlgdx.com /html/qb2.html h**p:// f.gxlgdx.com /html/dg2.html 感染对象 Windows 2000/Windows XP/Windows 2003 传播途径 网页木马、文件感染、移动存储介质 安全提示 　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理（如图1）； 如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现" Virus.Win32.Xorer.aex”，请直接选择删除（如图2）。 　　对于未使用微点主动防御软件的用户，微点反病毒专家建议： 1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。 2、建议关闭U盘自动播放，具体操作步骤：开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。 3、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。 4、开启windows自动更新，及时打好漏洞补丁。

※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※

Nblock

经测试，微点主动防御软件可以有效防范截止到今日出现的磁碟机病毒及其变种。 微点程序版本：1.2.10572.0067

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点技术支持邮箱: support@micropoint.com.cn 微点招募预升级用户，具体内容请浏览http://bbs.micropoint.com.cn/showthread.asp?tid=1445

微点卫士

在样本区试过几个磁碟机，为什么每次总是把偶的浏览器关闭啊？

polly5771

还好,没把FS列入免疫名单

用这种少见杀软还是有好处的

黄金马甲出租

因为你的浏览器里面有下面这些字眼

1. 免疫
   
2. 江民
   
3. 杀毒
   
4. 病毒
   
5. Avast
   
6. TtabSheet
   
7. 进程管理
   
8. TpageControl
   
9. Copylock
   
10. TsuiForm
    
11. 版
    
12. 墙
    
13. 云
    
14. 防
    
15. Frame
    
16. 狙剑
    
17. 微点
    
18. AfxControlBar42s
    
19. Tapplication
    
20. 费尔
    
21. Antivir
    
22. ThunderRT6Timer
    
23. thunderrt6formdc
    
24. 升级
    
25. 木
    
26. thunderrt6main
    
27. eset
    
28. mcafee
    
29. afx:
    
30. arp
    
31. avg
    
32. facelesswndproc
    
33. bitdefender
    
34. ewido
    
35. 具诊
    
36. #32770
    
37. Monitor
    
38. Onit
    
39. Afet
    
40. Yst
    
41. mcagent.escan
    
42. firewall
    
43. dr.web
    
44. metapad
    
45. mozillauiwindowclass
    
46. cabinetwclass
    
47. ieframe
    
48. diskgen
    
49. dummycom
    
50. xorer
    
51. 磁碟机
    
52. pagefile.pif
    
53. smss.exe
    
54. lsass.exe
    
55. 360安全

复制代码

spatra

红伞也在列表中，但我还有微点

自由

那就是这个罗。

sixu0913

哈哈，这个毒中了有点麻烦。

烟雨无声

最近太疯狂了，大家要小心了啊~用微点的朋友都不用担心了~！

loveyuwei

千万不要中..