AV终结者变种Virus.Win32.AutoRun.mv

AV终结者变种Virus.Win32.AutoRun.mv

病毒名称： Virus.Win32.AutoRun.mv
病毒类型： AV终结者变种
文件 MD5： C9EE595678AFFD24B1A4DF2142C36C2E
公开范围： 完全公开
危害等级： 4
文件长度： 26,576 字节
感染系统： Windows98以上版本
开发工具： Borland Delphi 6.0 - 7.0
加壳类型： NsPacK V3.7
病毒描述：
 

　　该病毒为AV终结者变种，病毒运行后复制自身到系统目录，衍生病毒文件，
并删除自身。该病毒添加多处启动项，以达到启动的目的。与以前AV终结者不同
的功能是加入了进程互锁性保护功能；添加了进程对文件及文件夹，注册表等的
实时监控保护；增加了比较智能化的关闭功能，可以通过匹配关键字来进行文件
关闭等。
行为分析：
 

本地行为：

1、文件运行后会有如下文件行为：

（1）在系统目录下衍生以下文件，并删除自身：

　　　　%Program Files%\Common Files
　　　　\Microsoft Shared\gbruusu.exe 　　　　26,576 字节
　　　　%Program Files%\Common Files
　　　　\Microsoft Shared\nakmtji.inf 　　　　169 字节
　　　　%Program Files%\Common Files\System
　　　　\hcrpyhp.exe 　　　　　　　　　　　　　26,576 字节
　　　　%Program Files%\Common Files\System\nakmtji.inf 169 字节
　　　　%Program Files%\meex.exe 　　　　　　 26,576 字节
　　
（2）将系统文件verclsid.exe建立副本并更名为 verclsids.exe，然后将
　　 verclsid.exe原文件删除，以使在WindowsShell或Windows资源管理
　　 器实例化任何外壳扩展之前无法对这些扩展进行验证。

　　　　新建文件副本：
　　　　%System32%\verclsids.exe 大小: 28,672

　　　　删除源文件：
　　　　%System32%\verclsid.exe 大小: 28,672

（3）在各个驱动器盘符根目录下（除系统盘符外）创建自启动文件autorun.inf，
　　 当打开盘符时，使会执行该启动文件对应的可执行文件运行。

　　　　启动文件及其对应执行文件如下：

　　　　%DriveLetter%\autorun.inf 　　　　169字节
　　　　%DriveLetter%\apnxmvn.exe 　　　　26576字节

　　　　Autorun.inf内容如下：
　　　　[AutoRun]
　　　　open=apnxmvn.exe
　　　　shell\open=打开(&O)
　　　　shell\open\Command=apnxmvn.exe
　　　　shell\open\Default=1
　　　　shell\explore=资源管理器(&X)
　　　　shell\explore\Command=apnxmvn.exe

2. 病毒的进程一旦运行，通过检查互斥体gbruusu.exe与hcrpyhp.exe，互相启
　 动进程，形成进程互锁性保护，普通方法很难将其终止。简单的结束进程会无
　 效的，如果使用Windows任务管理器进行结束一个进程，则Windows任务管理器
　 将被迫关闭。互锁进程还会监视病毒体所在的文件夹%Program Files%
　 \Common Files\Microsoft Shared与%Program Files%\Common Files\System，
　 如果被找开则立即强行关闭。

3、nakmtji.inf的作用是autorun.inf备份文件，内容与autorun.inf文件内容相同。
　 互锁进程gbruusu.exe与hcrpyhp.exe还会监视各个驱动器盘符下的病毒文件是否
　 存在，如被删除，则利用备份nakmtji.inf创建autorun.inf，并同时利用病毒副
　 本文件建立autorun.inf对应的可执行文件。

4、互锁进程gbruusu.exe与hcrpyhp.exe还会监视病毒添加的注册表项，当注册表项
　 被修改时，会立即改回病毒添加时的状态，使对病毒的清除带来了很大的困难。

5、 新建注册表：

　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows\CurrentVersion\Run]
　　　　注册表值："apnxmvn"
　　　　类型： REG_SZ
　　　　值： "C:\Program Files\Common Files
　　　　\Microsoft Shared\gbruusu.exe"
　　　　描述：添加启动项，以达到随机启动的目的

6、 新建注册表：

　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows\CurrentVersion\Run]
　　　　注册表值："nakmtji"
　　　　类型： REG_SZ
　　　　值： "C:\Program Files\Common Files
　　　　\System\hcrpyhp.exe"
　　　　描述：添加启动项，以达到随机启动的目的

7、删除注册表安全模式相关项，以达到启动安全模式时无法进入系统：

　　　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
　　　　\Control\SafeBoot\Minimal
　　　　\{4D36E967-E325-11CE-BFC1-08002BE10318}\@
　　　　键值: 字符串: "DiskDrive"
　　　　
　　　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
　　　　\Control\SafeBoot\Network
　　　　\{4D36E967-E325-11CE-BFC1-08002BE10318}\@
　　　　键值: 字符串: "DiskDrive"

　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　　　\Control\SafeBoot\Minimal
　　　　\{4D36E967-E325-11CE-BFC1-08002BE10318}\@
　　　　键值: 字符串: "DiskDrive"

　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　　　\Control\SafeBoot\Network
　　　　\{4D36E967-E325-11CE-BFC1-08002BE10318}\@
　　　　键值: 字符串: "DiskDrive"

8、修改注册表:

　　　　[HKEY_CURRENT_USER\Software\Microsoft
　　　　\Windows\CurrentVersion\Explorer
　　　　\Advanced\ShowSuperHidden]
　　　　新: DWORD: 0 (0)
　　　　旧: DWORD: 1 (0x1)
　　　　描述：使所有隐藏文件及文件夹不可见

　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows\CurrentVersion\Explorer
　　　　\Advanced\Folder\SuperHidden\Type]
　　　　新: 字符串: "checkbox2"
　　　　旧: 字符串: "checkbox"
　　　　描述：隐藏受保护的操作系统文件，而且在
　　　　“文件夹选项中…”此项也被隐藏

　　　　[HKEY_LOCAL_MACHINE\SYSTEM
　　　　\ControlSet001\Services\helpsvc\Start]
　　　　新: DWORD: 4 (0x4)
　　　　旧: DWORD: 2 (0x2)
　　　　描述：禁用帮助与支持中心服务

　　　　[HKEY_LOCAL_MACHINE\SYSTEM
　　　　\CurrentControlSet\Services\helpsvc\Start]
　　　　新: DWORD: 4 (0x4)
　　　　旧: DWORD: 2 (0x2)
　　　　描述：禁用帮助与支持中心服务

　　　　[HKEY_LOCAL_MACHINE\SYSTEM
　　　　\ControlSet001\Services\SharedAccess\Start]
　　　　新: DWORD: 4 (0x4)
　　　　旧: DWORD: 2 (0x2)
　　　　描述：禁用网络地址转换、寻址、名称解析和/或入侵保护服务
　　　　
　　　　[HKEY_LOCAL_MACHINE\SYSTEM
　　　　\CurrentControlSet\Services\SharedAccess\Start]
　　　　新: DWORD: 4 (0x4)
　　　　旧: DWORD: 2 (0x2)
　　　　描述：禁用网络地址转换、寻址、名称解析和/或入侵保护服务

　　　　[HKEY_LOCAL_MACHINE\SYSTEM
　　　　\ControlSet001\Services\wscsvc\Start]
　　　　新: DWORD: 4 (0x4)
　　　　旧: DWORD: 2 (0x2)
　　　　描述：禁用监视系统安全设置和配制服务

　　　　[HKEY_LOCAL_MACHINE\SYSTEM
　　　　\CurrentControlSet\Services\wscsvc\Start]
　　　　新: DWORD: 4 (0x4)
　　　　旧: DWORD: 2 (0x2)
　　　　描述：禁用监视系统安全设置和配制服务

　　　　[HKEY_LOCAL_MACHINE\SYSTEM
　　　　\ControlSet001\Services\wuauserv\Start]
　　　　新: DWORD: 4 (0x4)
　　　　旧: DWORD: 2 (0x2)
　　　　描述：禁用Windows自动升级服务
　　　　
　　　　[HKEY_LOCAL_MACHINE\SYSTEM
　　　　\CurrentControlSet\Services\wuauserv\Start]
　　　　新: DWORD: 4 (0x4)
　　　　旧: DWORD: 2 (0x2)
　　　　描述：禁用Windows自动升级服务

9、在注册表中添加众多映像劫持项，以使杀毒软件及安全工具启动时无法启动并
执行病毒文件。

　　　　映像劫持项路径：
　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows NT\CurrentVersion
　　　　\Image File Execution Options\]
　　　　劫持到：%Program Files%\Common Files
　　　　\Microsoft Shared\gbruusu.exe
　　　　下面列出被劫持项列表清单：　　　

10、在打开文件的标题栏或内容中有如下字样，则对该文件进行关闭专杀：

　　　　"AV终结者/8749"木马专杀
　　　　Windows 清理助手
　　　　IceSword
　　　　编辑字符串
　　　　编辑 DWORD 值
　　　　Common Files\System
　　　　Common Files\Microsoft Shared

11、对于除系统盘符外的各个驱动器盘符根目录下的已存在的autorun.inf文件
　　或文件夹，该病毒会首先尝试删除已存在的文件，然后将写入病毒autorun.inf
　　文件及其可执行文件；如对已存在的文件删除失败，则对该文件或文件夹进行重
　　命名为“随机6位字母组合”，然后进行病毒写入文件操作。这样使常规
　　autorun.inf免疫不再起到防护作用。

12、该病毒可通过恶意网站、其它病毒/木马下载方式或移动存储似介质传播。

网络行为:

1、ghruusu.exe进程连接网络下载病毒文件：

　　　　连接网络：
　　　　clubs.ho****.oaooao.com(125.91.104.***:80)

　　　　下载病毒文件并自动运行：
　　　　card08.jpg
　　　　kmplayer10.exe
　　　　kmp0.exe
　　　　rete.txt

注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
　　
　　　　%Windir% 　　　　　 　　　　　 WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　 逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　 系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　\当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是C:\Windows\System
　　　　windowsXP中默认的安装路径是C:\Windows\System32