首页|退出

12月13日病毒播报


发布者:网安网  发布时间:2012/12/14 11:52:00  阅读:32123

病毒描述

病毒名称    :  Virus/Autorun.ke
文件MD5     :  F0A283036A1D7AD60E5FCA1712826CEC
文件大小    :  142,864 字节
编写环境    :  C++
是否加壳    :  是(PEPACK)


文档公开级别 : 完全公开


病毒执行体描述:

     Virus/Autorun.ke 病毒是感染性质的下载者病毒,对系统的破坏性很大,感染所有磁盘,并感染所有网页文件插入"Iframe"的外部链接,用户中毒后机器会变得非常卡,此病毒会以最高权限对系统进行操作,修改注册表,感染磁盘文件,下载网络上新的病毒变种,复制自身到其他目录下添加AutoRun.inf配置文件对文件夹进行劫持,当移动设备插入到主机上,打开本地磁盘会继续感染到移动设备磁盘,是一个持续感染的病毒,当进驻到操作系统里以后会把自身复制到系统目录下重命名为"SVSHOST.EXE"来混淆用户。原文件会释放自删除脚本删除。


病毒行为流程分析:

一.传播途径
   通过对Virus/Autorun.ke病毒的深入分析,发现病毒每次被运行的时候都会检测当前注册表项中是否有启动项"SVSHOST.EXE",如果已检测到有此项,则退出。没有检测到此项则复制自身到系统目录下命名为"SVSHOST.EXE",并创建进程"SVSHOST.EXE"。Virus/Autorun.ke 以"SVSHOST.EXE"名称执行后,则开始搭建重启运行环境,将自身添加到注册表"Run"启动项中。检测IE注册表项,把默认主页设置为"http://127.0.0.1",关闭Windwos自动更新的注册表项。创建批处理文件,自删原来的Virus/Autorun.ke 病毒体,病毒已经为自身复制了一份"SVSHOST.EXE",原来的将被删除。

二、执行流程
    Virus/Autorun.ke 病毒自身复制到System32目录下,启动后会修改注册表,遍历磁盘文件,感染磁盘里所有的网页文件添加"iframe" 外部调用,对系统根目录下释放"AutoRun.inf",将自身复制与"AutoRun.inf"文件相同目录下命名为"lcg.exe"。完成感染环境的搭建后开启线程重复检测磁盘根目录下的"AutoRun.inf",如果没有就进行释放。

病毒技术要点
 Virus/Autorun.ke 病毒是自我复制,自我传播型病毒的典型,从自我复制对系统的启动调用,添加开机启动,感染系统所有磁盘,混淆创建"SVSHOST.EXE"来进行启动。

病毒清理流程
1. Virus/Autorun.ke 病毒的特征中毒后机器变慢,检测磁盘根目录下是否有隐藏的AutoRun.inf,并伴有lcg.exe。
2. 再通过安全软件查看系统里是否有SVSHOST.EXE的进程,如果发现应先结束该进程,通过资源管理器打开磁盘目录,删除里面的Autorun.inf 和lcg.exe(每个磁盘根目录都要操作)。在系统System32目录下搜索SVSHOST.EXE,找到后删除,在注册表中删除对应的项。

【来源:江民科技】


技术支持:  深圳市计算机安全应急服务中心
广东安证计算机司法鉴定所
版权所有 2008-2009 © 中国网络安全保障服务网 All Right Reserved
粤ICP备09101699号-1  

粤公网安备 44030502000970号