微点解决磁碟机Virus.Win32.Xorer.aex

zyc1963

Virus.Win32.Xorer.aex
捕获时间
2008-03-20
病毒症状
　　该程序是使用VC编写的病毒程序，由微点主动防御软件自动捕获，采用UPX加壳方式试图躲避特征码扫描，加壳后长度为94,208字节，图标为Windows默认可执行文件图标，病毒扩展名为exe，主要通过网页木马、文件感染、移动存储介质方式传播。
病毒分析
动作一：
该样本程序被执行后,查找窗口名或类名为如下字符的窗口，试图通过API函数GetWindowThreadProcessId、OpenProcess、TerminateProcess将其关闭，同时发送大量的垃圾消息，造成含有如下窗口的进程无法处理消息自行退出；创建名为“cdocuments and settingsadministrator桌面setupsetupexe”的互斥体，防止系统中有多个病毒进程在运行。
  Quote:
免疫
江民
杀毒
病毒
Avast
TtabSheet
进程管理
TpageControl
Copylock
TsuiForm
版
墙
云
防
Frame
狙剑
微点
AfxControlBar42s
Tapplication
费尔
Antivir
ThunderRT6Timer
thunderrt6formdc
升级
木
thunderrt6main
eset
mcafee
afx:
arp
avg
facelesswndproc
bitdefender
ewido
具诊
#32770
Monitor
Onit
Afet
Yst
mcagent.escan
firewall
dr.web
metapad
mozillauiwindowclass
cabinetwclass
ieframe
diskgen
dummycom
xorer
磁碟机
pagefile.pif
smss.exe
lsass.exe
360安全
修改如下注册表键值隐藏病毒文件使其不能被显示出来、开启Windows自动播放功能利用其传播病毒。
  Quote:
项：HKCU\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Explorer\Advanced\
键值：ShowSuperHidden
指向数据：00
项：HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
键值：NoDriveTypeAutoRun
指向变量：95
删除如下注册表项实现突破映像劫持、组策略的免疫方式：
  Quote:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy Objects"
删除安全模式对应的键值使用户不能通过安全模式删除病毒文件和修复系统：
  Quote:
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
通过API函数GetSystemDirectoryA、GetUserNameA获取系统目录与当前用户名，调用Cacls .exe为系统目录下com子目录赋予当前用户的完全控制权限，如果存在与病毒名相同的文件或文件夹则删除；在目录C:\下释放驱动文件NetApi000.sys，修改文件属性为隐藏和系统；添加SeDebugPrivilege特权令牌，获取调试权限，使得任务管理器无法将其结束；调用SCM写注册表项将NetApi000.sys注册成名为NetApi000的服务，通过相关函数启动被注册的服务加载驱动，加载成功后使用API函数DeleteService将服务NetApi000删除，通过驱动恢复系统分发表将所有系统服务重置，从而使多种病毒监控程序失效；
  Quote:
项：HKLM\SYSTEM\CurrentControlSet\Services\NetApi000\
键值：DisplayName
指向数据：NetApi000
项：HKLM\SYSTEM\CurrentControlSet\Services\ NetApi000\
键值：ImagePath
指向文件：\??\C:\NetApi000.sys
项：HKLM\SYSTEM\CurrentControlSet\Services\ NetApi000\
键值：Start
指向数据：03
遍历有如下字符串的进程将其关闭：
  Quote:
Kmailmon
Guard
Scan
Kissvc
Watch
Kv
Twister
Avp
rav
调用API函数SHDeleteKeyA将如下服务删除；拷贝自身到%ALLUSERSPROFILE%\「开始」菜单\程序\启动目录下，重命名为~.exe.*******.exe；添加SeShutdownPrivilege特权令牌，获取关机权限，使用API函数ExitWindowsEx强制关机重启。
  Quote:
MPSVCService
AntiVirService
AVP
KWatchSvc
Ekrn
SymEvent
PAVSRV
Tmmbd
McShield
RsRavMon
EQService
KSysMon
动作二：
~.exe.*******.exe运行后，创建名为“cdocuments and settingsall userswinnt「开始」菜单程序启动~exe3706156exe ”的互斥体，防止系统中有多个病毒进程在运行；删除注册表自启动项以使系统中安全软件不能一起随系统启动；将自身拷贝到%systemroot%\system32\com目录下，重命名为lsass.exe；通过API函数CreateProcessA运行lsass.exe。之后执行自删除操作，当系统注销时再次将lsass.exe的拷贝复制到启动目录下，实现下次病毒自启动。
动作三：
%systemroot%\system32\com\lsass.exe运行后，创建名为“cwinntsystem32comlsassexe”的互斥体，防止系统中有多个病毒进程在运行；检测文件夹下是否存在免疫文件，如果存在执行“动作一”中相关动作删除免疫；在com目录下释放文件netcfg.000、netcfg.dll与smss.exe；在%systemroot%\system32目录下释放动态库dnsq.dll，通过regsvr32.exe /s /c将dnsq.dll注册，并将dnsq.dll添加到AppInit_DLLs键值下，当创建进程时被自动加载，安装全局钩子，以独占方式打开boot.ini与host文件，使得其它线程无法操作这两个文件；之后重复“动作一”中相关动作。
  Quote:
项：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\
键值：AppInit_DLLs
指向数据：dnsq.dll
动作四：
枚举磁盘类型将所有分区下autorun.inf删除；在各分区释放autorun.inf文件，通过API函数CreateProcessA执行cmd.exe /C %systemroot%\system32\com\smss.exe %systemroot%\system32\com\lsass.exe ^|C:\pagefile.pif在各分区中以覆盖形式释放隐藏病毒文件pagefile.pif，使用Windows自动播放功能来传播病毒；拷贝lsass.exe为~.exe到启动目录下，通过调用API函数CreateProcessA将smss.exe作为模块名，运行%ALLUSERSPROFILE%\「开始」菜单\程序\启动\~.exe；实现进程互守；枚举磁盘从驱动器跳过操作系统分区查找所有文件类型，对exe；rar、zip；js等类型文件进行感染，感染方式如下：
1、判断文件扩展名为exe时，将病毒体写入到com目录下临时文件“~”中，再将待感染文件以88k和4k经过Xor指令加密后的数据交替追加到临时文件“~”中，最后再次把病毒体读入内存，取4k代码写入临时文件“~”中，感染过程完毕，通过API函数CreateProcessA执行cmd.exe /C %systemroot%\system32\com\smss.exe %systemroot%\system32\com\~ ^|（待感染文件）.exe将文件覆盖实现感染。
2、判断文件扩展名为zip或rar的时候，查找注册表相关键值取得rar.exe的绝对路径，调用rar命令行参数将文件解压后重复1感染动作，感染完毕后再打包压回。
3、判断扩展名为js的文件时，在文件内插入包含“h**p://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%6%73%701”的框架，解密后为h**p://js.k0102.com/01.asp。
                                             
Autorun.inf文件内容如下：
  Quote:
[AutoRun]
open=pagefile.pif
shell\open=打开(&O)
shell\open\Command=pagefile.pif
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=pagefile.pif
动作五：
将如下两个网址作为参数，通过API函数CreateProcessA访问这两个网站显示广告信息。
  Quote:
h**p://d.gxlgdx.com /html/qb2.html
h**p:// f.gxlgdx.com /html/dg2.html
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马、文件感染、移动存储介质]磁碟机Virus.Win32.Xorer.aex
安全提示
　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理（如图1）；

如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现" Virus.Win32.Xorer.aex”，请直接选择删除（如图2）。

　　对于未使用微点主动防御软件的用户，微点反病毒专家建议：
1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。
2、建议关闭U盘自动播放，具体操作步骤：开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
4、开启windows自动更新，及时打好漏洞补丁。

yjwfn502

很好,很强大