【IT专家网独家】病毒名称: Worm.Win32.AutoRun.cnv
病毒类型: 蠕虫
文件 MD5: FBCE46FA53201B02CCC5C495829CB6D5
文件长度: 28,672 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: 未知壳
病毒描述:
该病毒属蠕虫类。病毒运行后复制自身到%System32%及附属目录下;复制自身到C至K盘的根目录下,并衍生autorun.inf文件,使病毒在双击打开盘符时运行;在当前用户的临时文件夹下,衍生rs.bat文件;遍历进程列表,关闭指定的进程;尝试关闭标题中含有指定字符串的活动窗口;修改注册表,添加两处启动项,创建一项服务,锁定隐藏文件的显示方式,使用户无法通过“文件夹选项”显示隐藏文件;程序运行过程中,由于自身问题会弹出错误对话框,使器根目录在打开时,将无法打开只弹出该对话框;程序运行后尝试删除自身。连接网络下载文件,但所有文件都已经无法下载。
行为分析:
本地行为:
1、文件运行后会释放以下文件
| %System%drivers\svchost.exe 28,672 字节 %System%\microsoft.exe 28,672 字节 %System%\SP00LV.exe 28,672 字节 %Documents and Settings%\Administrator\Local Settings\Temp\rs.bat 105 字节 %HomeDrive%\setup.exe 28,672 字节 %HomeDrive%\AutoRun.inf 163 字节 %DriveLetter%\setup.exe 28,672 字节 %DriveLetter%\AutoRun.inf 163 字节 |
2、新增注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
注册表值: "Internat"
类型: REG_SZ
值: "C:\WINDOWS\system32\microsoft.exe"
描述: 启动项,使病毒文件在当该系统的所有用户登陆该系统时,运行病毒文件。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
注册表值: "Program Files"
类型: REG_SZ
值: "C:\WINDOWS\system32\SP00LV.exe"
描述: 启动项,使病毒文件在当该系统的所有用户登陆该系统时,运行病毒文件。
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Winnet COM+]
注册表值: "DisplayName
类型: REG_SZ
值:"Winnet COM+"
描述: 服务名称
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Winnet COM+]
注册表值: "ImagePath"
类型: REG_SZ
值:"C:\WINDOWS\system32\drivers\svchost.exe"
描述: 服务启动的映像路径
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Winnet COM+]
注册表值: "Start"
类型: DWORD
值:"2"
描述:服务的启动方式。
3、修改注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
新建键值:字串:"CheckedValue"="1"
原键值:字串:"CheckedValue"="0"
描述: 锁定隐藏文件的显示方式,使用户无法通过“文件夹选项”显示隐藏文件
4、被监视的进程名称列表
360tray.exe、RavTask.exe、RavStub.exe、RavMonD.exe、RavMon.exe、CCenter.exe、rfwstub.exe、rfwProxy.exe、rfwsrv.exe、rfwmain.exe、Ras.exe、runiep.exe
5、标题栏中被监视的字符串列表
安全卫士、扫描、专杀、注册表、Process 进程、毒、木马、防御、防火墙、病毒、检测、Firewall、virus、anti、金山、江民、卡巴斯基、worm、杀毒、360、专杀、微点、micropoint、克星、广告、Kaspersky、AVK F-Secure、eScan、Norton、诺顿、McAfee、Virus、Panda、熊猫、Trojan、Door、AVG
6、rs.bat文件代码
| @echo off :start if not exist ""%1"" goto done del /F ""%1"" del ""%1"" goto start :done del /F %t |
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\ WINDODWS所在目录
%DriveLetter%\ 逻辑驱动器根目录
%ProgramFiles%\ 系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录
