Worm.Win32.VB.fu分析

2007-05-19 作者:bitsCN整理来源:中国网管联盟点评 投稿 收藏

病毒标签：
病毒名称： Worm.Win32.VB.fu
病毒类型：蠕虫
文件 MD5： C98E7DA0F034B3F89D9D5F433B9E40AC
公开范围：完全公开
危害等级： 5
文件长度： 19,892 字节
感染系统： Win98 以上系统
开发工具： Microsoft Visual Basic 5.0 / z6.0
加壳类型： NsPacK V3.7

病毒描述：
　　该病毒属蠕虫类，病毒运行后衍生病毒文件到系统目录下，修改注册表，添加启动项，以达到随机启动的目的，修改系统时间，修改 IE 主页，病毒在每个盘符下新建一个 autorun.inf 文件，使用户双击盘符时自动运行病毒；关闭 Cryptographic Services 服务；删除 GHO 文件；检测窗体标题栏中如果含有运行、文件夹选项则关闭窗体；尝试结束部分反毒软件的服务，修改文件 txt 、 ini 、 log 的文件关联，当用户试图运行 txt 、 ini 、 log 的文件时，病毒就会运行起来。修改部分正常程序的路径，当用户运行这些程序时，实际上运行的是病毒文件。

行为分析：
1 、病毒运行后衍生病毒文件：

　　　　c:\autorun.inf
　　　　c:\info.exe
　　　　c:\WINDOWS\system32\drivers\IsDrv118.sys 中国网管联盟bitsCN.com
　　　　c:\WINDOWS\system32\drivers\IsDrv120.sys

2 、在每个盘符下创建 autorun.inf 和 info.exe 文件：

　　　　D:\autorun.inf
　　　　C:\autorun.inf
　　　　E:\autorun.inf
　　　　C:\autorun.inf
　　　　F:\autorun.inf
　　　　C:\autorun.inf
　　　　G:\autorun.inf
　　　　C:\autorun.inf
　　　　H:\autorun.inf
　　　　C:\autorun.inf
　　　　I:\autorun.inf
　　　　C:\autorun.inf
　　　　J:\autorun.inf
　　　　C:\autorun.inf
　　　　K:\autorun.inf
　　　　C:\autorun.inf
　　　　L:\autorun.inf
　　　　C:\autorun.inf
　　　　M:\autorun.inf
　　　　C:\autorun.inf
　　　　N:\autorun.inf
　　　　C:\autorun.inf
　　　　O:\autorun.inf
　　　　C:\autorun.inf
　　　　P:\autorun.inf
　　　　C:\autorun.inf
　　　　Q:\autorun.inf
　　　　C:\autorun.inf
　　　　R:\autorun.inf
　　　　C:\autorun.inf

网管下载dl.bitscn.com

　　　　S:\autorun.inf
　　　　C:\autorun.inf
　　　　T:\autorun.inf
　　　　C:\autorun.inf
　　　　U:\autorun.inf
　　　　C:\autorun.inf
　　　　V:\autorun.inf
　　　　C:\autorun.inf
　　　　W:\autorun.inf
　　　　C:\autorun.inf
　　　　X:\autorun.inf
　　　　C:\autorun.inf
　　　　Y:\autorun.inf
　　　　C:\autorun.inf
　　　　Z:\autorun.inf
　　　　C:\autorun.inf
　　　　C:\autorun.inf
　　　　D:\autorun.inf
　　　　E:\autorun.inf
　　　　F:\autorun.inf
　　　　G:\autorun.inf
　　　　H:\autorun.inf
　　　　I:\autorun.inf
　　　　J:\autorun.inf
　　　　K:\autorun.inf
　　　　L:\autorun.inf
　　　　M:\autorun.inf
　　　　N:\autorun.inf
　　　　O:\autorun.inf
　　　　P:\autorun.inf
　　　　Q:\autorun.inf
　　　　R:\autorun.inf
　　　　S:\autorun.inf
　　　　T:\autorun.inf
　　　　U:\autorun.inf

网管网www_bitscn_com

　　　　V:\autorun.inf
　　　　W:\autorun.inf
　　　　X:\autorun.inf
　　　　Y:\autorun.inf
　　　　Z:\autorun.inf
　　　　C:\info.exe
　　　　D:\info.exe
　　　　E:\info.exe
　　　　F:\info.exe
　　　　G:\info.exe
　　　　H:\info.exe
　　　　I:\info.exe
　　　　J:\info.exe
　　　　K:\info.exe
　　　　L:\info.exe
　　　　M:\info.exe
　　　　N:\info.exe
　　　　O:\info.exe
　　　　P:\info.exe
　　　　Q:\info.exe
　　　　R:\info.exe
　　　　S:\info.exe
　　　　T:\info.exe
　　　　U:\info.exe
　　　　V:\info.exe
　　　　W:\info.exe
　　　　X:\info.exe
　　　　Y:\info.exe
　　　　Z:\info.exe

3 、当用户双击磁盘盘符时，会自动运行病毒程序， autorun.inf 内容为：

　　　　[AUTORUN]
　　　　 OPEN=info.exe
　　　　 shell\open=Sb_(&O)
　　　　 shell\open\Command=info.exe
　　　　 shell\open\Default=1 网管网www_bitscn_com
　　　　 Shellexecute=info.exe

4 、修改注册表，添加启动项，以达到随机启动的目的：

　　　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
　　　　键值 : 字串 : "B-A-I-D-U-C-O-M"="C:\info.exe"

5 、修改注册表，使病毒文件 info.exe 随系统进程 Explorer.exe 一同启动：

　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
　　　　新建键值 : 字串 : "Shell"="Explorer.exe"
　　　　原键值 : 字串 : "Shell"="Explorer.exe C:\info.exe"

6 、修改 IE 主页为百度：

　　　　HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
　　　　键值 : 字串 : "Start Page"="http://www.baidu.com/"

7 、修改系统时间：

　　　　修改系统时间为： 1993 年 9 月 12 日

8 、关闭 Cryptographic Services 服务：

　　　　net stop Cryptographic Services
　　　　Cryptographic Services 服务描述：提供三种管理服务 : 编录数据库服务，它确定

中国网管联盟bitsCN.com

　　　　Windows 文件的签字 ; 受保护的根服务，它从此计算机添加和删除受信根证书机构的
　　　　证书 ; 和密钥 (Key) 服务，它帮助注册此计算机获取证书。如果此服务被终止，这些
　　　　管理服务将无法正常运行。如果此服务被禁用，任何依赖它的服务将无法启动。

9 、搜索各盘符，删除 GHO 文件，使用户无法使用 GHO 文件恢复系统。

　　　　C:/*.*gho
　　　　D:/*.*gho
　　　　E:/*.*gho
　　　　F:/*.*gho
　　　　G:/*.*gho
　　　　H:/*.*gho
　　　　I:/*.*gho
　　　　J:/*.*gho
　　　　K:/*.*gho
　　　　L:/*.*gho
　　　　M:/*.*gho
　　　　N:/*.*gho
　　　　O:/*.*gho
　　　　P:/*.*gho
　　　　Q:/*.*gho
　　　　R:/*.*gho
　　　　S:/*.*gho
　　　　T:/*.*gho
　　　　U:/*.*gho
　　　　V:/*.*gho
　　　　W:/*.*gho
　　　　X:/*.*gho
　　　　Y:/*.*gho
　　　　Z:/*.*gho

10 、检测窗体标题栏中如果含有运行、文件夹选项则关闭窗体：
网管u家u.bitscn@com
　　　　关闭窗口标题栏为运行、文件夹选项的窗体，使用户无法选择“显示所有隐藏的文件”，
　　　　无法使用运行窗口开启 cmd.exe 等程序。

11 、修改 ini 、 log 、 txt 文件关联、修改程序路径关联，当用户运行以下正常程序时，
打不开正常程序，且使病毒程序运行：

　　　　 avp.exe
　　　　 kwatch.exe
　　　　 ravmon.exe
　　　　 icesword.exe
　　　　 sreng.exe 　　　　
　　　　 autorun.exe
　　　　 rfwmain.exe
　　　　 ccenter.exe
　　　　 notepad.exe
　　　　 mmc.exe
　　　　 cmd.exe
　　　　 taskmgr.exe
　　　　 setup.exe

　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
　　　　Image File Execution Options\autorun.exe
　　　　键值 : 字串 : "Debugger"="C:\info.exe"
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
　　　　Image File Execution Options\avp.exe
　　　　键值 : 字串 : "Debugger"="C:\info.exe" 网管bitscn_com
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
　　　　Image File Execution Options\ccenter.exe\
　　　　键值 : 字串 : “Debugger”=“C:\info.exe”
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
　　　　Image File Execution Options\cmd.exe\
　　　　键值 : 字串 : “Debugger”=“C:\info.exe”
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
　　　　Image File Execution Options\icesword.exe\
　　　　键值 : 字串 : “Debugger”=“C:\info.exe”
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
　　　　Image File Execution Options\kwatch.exe\
　　　　键值 : 字串 : “Debugger”=“C:\info.exe”
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
　　　　Image File Execution Options\mmc.exe\
　　　　键值 : 字串 : “Debugger”=“C:\info.exe”
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

网管网www_bitscn_com

　　　　Image File Execution Options\notepad.exe\
　　　　键值 : 字串 : “Debugger”=“C:\info.exe”
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
　　　　Image File Execution Options\ravmon.exe\
　　　　键值 : 字串 : “Debugger”=“C:\info.exe”
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
　　　　Image File Execution Options\rfwmain.exe\
　　　　键值 : 字串 : “Debugger”=“C:\info.exe”
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
　　　　Image File Execution Options\setup.exe\
　　　　键值 : 字串 : “Debugger”=“C:\info.exe”
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
　　　　Image File Execution Options\sreng.exe\
　　　　键值 : 字串 : "Debugger"="C:\info.exe"
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
　　　　Image File Execution Options\syssafe.exe\

中国网管论坛bbs.bitsCN.com

　　　　键值 : 字串 : "Debugger"="C:\info.exe"
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
　　　　Image File Execution Options\taskmgr.exe\
　　　　键值 : 字串 : "Debugger"="C:\info.exe"
　　　　
　　　　当用户运行 txt 、 ini 、 log 文件时，会激活病毒。

12 、尝试结束以下反毒软件的服务、并禁止相关程序的运行：

　　　　avp.exe
　　　　ravmon.exe
　　　　kwatch.exe
　　　　icesword.exe
　　　　sreng.exe
　　　　autorun.exe
　　　　rfwmain.exe
　　　　ccenter.exe
　　　　notepad.exe
　　　　mmc.exe
　　　　cmd.exe
　　　　taskmgr.exe
　　　　setup.exe

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\Winnt\System32 ， windows95/98/me 中默认的安装路径是 C:\Windows\System ， windowsXP 中默认的安装路径是 C:\Windows\System32 。

网管联盟bitsCN_com

--------------------------------------------------------------------------------
清除方案：
1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

　　(1) 使用安天木马防线 “进程管理”关闭病毒进程
　　　　　　Syssafe.exe
　　　　　　Info.exe
　　 (2) 删除病毒文件
　　　　　　c:\autorun.inf
　　　　　　c:\info.exe
　　　　　　c:\WINDOWS\system32\drivers\IsDrv118.sys
　　　　　　c:\WINDOWS\system32\drivers\IsDrv120.sys
　　　　　　x:\autorun.inf
　　　　　　x:\info.exe
　　　　　　
　　　　　　注： x:\autorun.inf 中 x 代表能用盘符。

　　 (3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
　　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
　　　　　　CurrentVersion\Winlogon
　　　　　　新建键值 : 字串 : "Shell"="Explorer.exe"
　　　　　　原键值 : 字串 : "Shell"="Explorer.exe C:\info.exe" 网管网www.bitscn.com
　　　　　　HKEY_CURRENT_USER\Software\Microsoft\Windows\
　　　　　　CurrentVersion\Run
　　　　　　键值 : 字串 : "B-A-I-D-U-C-O-M"="C:\info.exe"
　　　　　　在注册表中搜索 info.exe ，把搜索到的键值全部删除。

顶一下

TAGs：

上一篇：22日病毒播报：留意小木马、QQ发信者两木马下一篇：没有了

Worm.Win32.VB.fu分析

2007-05-19 作者:bitsCN整理 来源:中国网管联盟 点评 投稿 收藏

2007-05-19 作者:bitsCN整理来源:中国网管联盟点评投稿收藏