如题所述
病毒标签
病毒名称: Worm.Win32.AutoRun.doc
病毒类型:蠕虫
文件 MD5: 476F8BA41F54238BA132DEC7B6C0B183
公开范围:完全公开
危害等级: 4
文件长度: 9,032 字节
感染系统: Windir98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: WinUpack 0.39 final -> By Dwing
病毒描述
该病毒属蠕虫类,判断自己是否是在系统盘下的MSDOS.bat,如果是则将系统盘目录打开,创建目录%Windir%\Tasks,将自身复制到该目录下,判断“%Windir%\Tasks”目录下是否存在0x01xx8p.exe文件,如存在则将其删除,判断当前进程是否存在“avp.exe”,如找到则将系统时间修改为2004年1月1日,复制自身到%HomeDrive%\spoolsv.exe,%Windir%\Tasks\spoolsv.ext ,%Windir%\Tasks\SysFile.brk,并删除自身文件.感染explorer.exe,先在%Windir%\tasks\释放被感染的explorer.ext然后再保存到%Windir%\explorer.exe,将要感染的病毒代码赋值到缓存,将被感染文件的最后一个节改名为.WYCao,注入被感染代码和自身病毒体,感染成功后替换原文件,遍历进程判断是否存在如下进程, avp.exe, kvsrvxp.exe,kissvc.exe,如果存在的话则强制结束.感染xml/cgi/jsp/php/aspx/asp/shtml/shtm/html/htm文件,删除磁盘现有的所有.gho文件。感染系统目录以外的scr/com/cmd/bat/exe.文件,遍历固定磁盘和可移动磁盘,在各个分区根目录下创建隐藏的系统属性文件autorun.inf和MSDOS.BAT.利用autorun.inf文件特性,使用户双击盘符就会自动运行病毒,隐藏开启IExplore.exe进程连接网络下载大量病毒文件,经分析下载的大量病毒文件多为盗号木马,使用户的网络虚拟财产遭受损失。
行为分析
本地行为:
1、释放病毒文件到以下目录:
%Windir%\Tasks\0x01xx8p.exe 9,032 字节
%Windir%\Tasks\spoolsv.ext
%Windir%\Tasks\SysFile.brk 57,856 字节
2、判断自己是否是在系统盘下的MSDOS.bat,如果是的话会将系统盘目录打开,创建目录%Windir%\Tasks,将自身复制到该目录下,判断“%Windir%\Tasks”目录下是否存在0x01xx8p.exe文件,如存在则将其删除,判断当然进程是否存在“avp.exe”,如找到则将系统时间修改为2004年1月1日。
3、感染explorer.exe,先在%Windir%\tasks\释放被感染的explorer.ext 然后再保存到%Windir%\explorer.exe,将要感染的病毒代码赋值到缓存,将被感染文件的最后一个节改名为.WYCao,注入被感染代码和自身病毒体,感染成功后替换原文件。
4、遍历进程判断是否存在如下进程, avp.exe, kvsrvxp.exe, kissvc.exe,如果存在的话则强制结束.感染xml/cgi/jsp/php/aspx/asp/shtml/shtm/html/htm文件,删除磁盘现有的所有.gho文件。感染系统目录以外的scr/com/cmd/bat/exe.文件。
5、在各个分区根目录下创建隐藏的系统属性文件autorun.inf和MSDOS.BAT.利用autorun.inf文件特性,使用户双击盘符就会自动运行病毒,隐藏开启IExplore.exe进程连接http://444.e***.com/config.txt下载大量病毒文件。
网络行为:
协议:TCP
端口:80
连接服务器名:http://444.e***.com/config.txt
IP地址:59.53.88.***
描述:连接服务器读取TXT列表内容下载病毒,读取的列表内容:
Random:
6287
Down:
http://444.kuk****.com/0/0.exe*
http://444.kuk****.com/0/1.exe*
http://444.kuk****.com/0/2.exe*
http://444.kuk****.com/0/3.exe*
http://444.kuk****.com/0/4.exe*
http://444.kuk****.com/0/5.exe*
http://444.kuk****.com/0/6.exe*
http://www.kuk****.com/0/7.exe*
http://444.kuk****.com/0/8.exe*
http://444.kuk****.com/0/9.exe*
http://444.kuk****.com/0/10.exe*
http://444.kuk****.com/0/11.exe*
http://444.kuk****.com/0/12.exe*
http://444.kuk****.com/0/13.exe*
FlipWEB:
*
SendGet:
*
InfeWeb:
*
NetBiosInfe:
1*
HDInfe:
0*
InfeExe:
0*
RemovInfe:
1*
RemovableDrive:
1*
FixedDrive:
1*
ReadTime:
50*
OpenSys:
1*
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
清除方案
1、使用安天防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用ATOOL进程管理结束explorer.exe进程。
复制%system32%\dllcache目录下的explorer.exe文件替换%Windir%目录下的explorer.exe文件。
(2)强行删除病毒衍生的病毒文件:
%Windir%\Tasks\0x01xx8p.exe
%Windir%\Tasks\spoolsv.ext
%Windir%\Tasks\SysFile.brk
%HomeDrive%\MSDOS.bat
%HomeDrive%\autorun.inf
%DriveLetter%\MSDOS.bat
%DriveLetter%\autorun.inf
(3)强行删除病毒衍生的病毒文件(注:该病毒下载的病毒列表可能会随时变化)
%system32%\config\mscg13.exe
%system32%\drivers\2h9k6qwl.sys
%system32%\drivers\bs2pmzbdm.sys
%system32%\fo18.dll
%system32%\2.ext
%system32%\inf\mscg13.exe
%system32%\3.ext
%system32%\ThunderBHONew14.dll
%system32%\4.ext
%system32%\2ba.dll
%system32%\b79a.dll
%system32%\79e7a.exe
%WINDIR\MayaGirl\MayaGirlMain.exe
%WINDIR\033.exe
%WINDIR\f9a.bmp
%WINDIR\91ba.exe
%WINDIR\1b60a.txt
病毒名称: Worm.Win32.AutoRun.doc
病毒类型:蠕虫
文件 MD5: 476F8BA41F54238BA132DEC7B6C0B183
公开范围:完全公开
危害等级: 4
文件长度: 9,032 字节
感染系统: Windir98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: WinUpack 0.39 final -> By Dwing
病毒描述
该病毒属蠕虫类,判断自己是否是在系统盘下的MSDOS.bat,如果是则将系统盘目录打开,创建目录%Windir%\Tasks,将自身复制到该目录下,判断“%Windir%\Tasks”目录下是否存在0x01xx8p.exe文件,如存在则将其删除,判断当前进程是否存在“avp.exe”,如找到则将系统时间修改为2004年1月1日,复制自身到%HomeDrive%\spoolsv.exe,%Windir%\Tasks\spoolsv.ext ,%Windir%\Tasks\SysFile.brk,并删除自身文件.感染explorer.exe,先在%Windir%\tasks\释放被感染的explorer.ext然后再保存到%Windir%\explorer.exe,将要感染的病毒代码赋值到缓存,将被感染文件的最后一个节改名为.WYCao,注入被感染代码和自身病毒体,感染成功后替换原文件,遍历进程判断是否存在如下进程, avp.exe, kvsrvxp.exe,kissvc.exe,如果存在的话则强制结束.感染xml/cgi/jsp/php/aspx/asp/shtml/shtm/html/htm文件,删除磁盘现有的所有.gho文件。感染系统目录以外的scr/com/cmd/bat/exe.文件,遍历固定磁盘和可移动磁盘,在各个分区根目录下创建隐藏的系统属性文件autorun.inf和MSDOS.BAT.利用autorun.inf文件特性,使用户双击盘符就会自动运行病毒,隐藏开启IExplore.exe进程连接网络下载大量病毒文件,经分析下载的大量病毒文件多为盗号木马,使用户的网络虚拟财产遭受损失。
行为分析
本地行为:
1、释放病毒文件到以下目录:
%Windir%\Tasks\0x01xx8p.exe 9,032 字节
%Windir%\Tasks\spoolsv.ext
%Windir%\Tasks\SysFile.brk 57,856 字节
2、判断自己是否是在系统盘下的MSDOS.bat,如果是的话会将系统盘目录打开,创建目录%Windir%\Tasks,将自身复制到该目录下,判断“%Windir%\Tasks”目录下是否存在0x01xx8p.exe文件,如存在则将其删除,判断当然进程是否存在“avp.exe”,如找到则将系统时间修改为2004年1月1日。
3、感染explorer.exe,先在%Windir%\tasks\释放被感染的explorer.ext 然后再保存到%Windir%\explorer.exe,将要感染的病毒代码赋值到缓存,将被感染文件的最后一个节改名为.WYCao,注入被感染代码和自身病毒体,感染成功后替换原文件。
4、遍历进程判断是否存在如下进程, avp.exe, kvsrvxp.exe, kissvc.exe,如果存在的话则强制结束.感染xml/cgi/jsp/php/aspx/asp/shtml/shtm/html/htm文件,删除磁盘现有的所有.gho文件。感染系统目录以外的scr/com/cmd/bat/exe.文件。
5、在各个分区根目录下创建隐藏的系统属性文件autorun.inf和MSDOS.BAT.利用autorun.inf文件特性,使用户双击盘符就会自动运行病毒,隐藏开启IExplore.exe进程连接http://444.e***.com/config.txt下载大量病毒文件。
网络行为:
协议:TCP
端口:80
连接服务器名:http://444.e***.com/config.txt
IP地址:59.53.88.***
描述:连接服务器读取TXT列表内容下载病毒,读取的列表内容:
Random:
6287
Down:
http://444.kuk****.com/0/0.exe*
http://444.kuk****.com/0/1.exe*
http://444.kuk****.com/0/2.exe*
http://444.kuk****.com/0/3.exe*
http://444.kuk****.com/0/4.exe*
http://444.kuk****.com/0/5.exe*
http://444.kuk****.com/0/6.exe*
http://www.kuk****.com/0/7.exe*
http://444.kuk****.com/0/8.exe*
http://444.kuk****.com/0/9.exe*
http://444.kuk****.com/0/10.exe*
http://444.kuk****.com/0/11.exe*
http://444.kuk****.com/0/12.exe*
http://444.kuk****.com/0/13.exe*
FlipWEB:
*
SendGet:
*
InfeWeb:
*
NetBiosInfe:
1*
HDInfe:
0*
InfeExe:
0*
RemovInfe:
1*
RemovableDrive:
1*
FixedDrive:
1*
ReadTime:
50*
OpenSys:
1*
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
清除方案
1、使用安天防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用ATOOL进程管理结束explorer.exe进程。
复制%system32%\dllcache目录下的explorer.exe文件替换%Windir%目录下的explorer.exe文件。
(2)强行删除病毒衍生的病毒文件:
%Windir%\Tasks\0x01xx8p.exe
%Windir%\Tasks\spoolsv.ext
%Windir%\Tasks\SysFile.brk
%HomeDrive%\MSDOS.bat
%HomeDrive%\autorun.inf
%DriveLetter%\MSDOS.bat
%DriveLetter%\autorun.inf
(3)强行删除病毒衍生的病毒文件(注:该病毒下载的病毒列表可能会随时变化)
%system32%\config\mscg13.exe
%system32%\drivers\2h9k6qwl.sys
%system32%\drivers\bs2pmzbdm.sys
%system32%\fo18.dll
%system32%\2.ext
%system32%\inf\mscg13.exe
%system32%\3.ext
%system32%\ThunderBHONew14.dll
%system32%\4.ext
%system32%\2ba.dll
%system32%\b79a.dll
%system32%\79e7a.exe
%WINDIR\MayaGirl\MayaGirlMain.exe
%WINDIR\033.exe
%WINDIR\f9a.bmp
%WINDIR\91ba.exe
%WINDIR\1b60a.txt
温馨提示:答案为网友推荐,仅供参考
第1个回答 2009-02-19
zip.doc.exe(Worm.Win32.AutoRun.d)简单解决方法2007-10-30 09:52貌似没什么危害,病毒发作时会查找磁盘可用的共享,并开启
监视自身文件和注册表项```=。=
解决方法:
1、打开任务管理器,结束zip.doc.exe进程。
2、设置系统,可显示所有隐藏文件夹,删除下面东东:
C:\Windows\Tasks.exe
C:\Windows\svchost.exe
每个磁盘下的zip.doc.exe和Autorun.inf文件。
3、打开注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除svchost键,指向C:\Windows\svchost.exe。本回答被网友采纳
监视自身文件和注册表项```=。=
解决方法:
1、打开任务管理器,结束zip.doc.exe进程。
2、设置系统,可显示所有隐藏文件夹,删除下面东东:
C:\Windows\Tasks.exe
C:\Windows\svchost.exe
每个磁盘下的zip.doc.exe和Autorun.inf文件。
3、打开注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除svchost键,指向C:\Windows\svchost.exe。本回答被网友采纳
