病毒描述

病毒名称    :  Virus/Autorun.ke
文件MD5     :  F0A283036A1D7AD60E5FCA1712826CEC
文件大小    :  142,864 字节
编写环境    :  C++
是否加壳    :  是(PEPACK)


文档公开级别 ： 完全公开


病毒执行体描述：

     Virus/Autorun.ke 病毒是感染性质的下载者病毒，对系统的破坏性很大，感染所有磁盘，并感染所有网页文件插入"Iframe"的外部链接，用户中毒后机器会变得非常卡，此病毒会以最高权限对系统进行操作，修改注册表，感染磁盘文件，下载网络上新的病毒变种，复制自身到其他目录下添加AutoRun.inf配置文件对文件夹进行劫持，当移动设备插入到主机上，打开本地磁盘会继续感染到移动设备磁盘，是一个持续感染的病毒，当进驻到操作系统里以后会把自身复制到系统目录下重命名为"SVSHOST.EXE"来混淆用户。原文件会释放自删除脚本删除。


病毒行为流程分析:

一.传播途径
   通过对Virus/Autorun.ke病毒的深入分析，发现病毒每次被运行的时候都会检测当前注册表项中是否有启动项"SVSHOST.EXE"，如果已检测到有此项，则退出。没有检测到此项则复制自身到系统目录下命名为"SVSHOST.EXE"，并创建进程"SVSHOST.EXE"。Virus/Autorun.ke 以"SVSHOST.EXE"名称执行后，则开始搭建重启运行环境，将自身添加到注册表"Run"启动项中。检测IE注册表项，把默认主页设置为"http://127.0.0.1",关闭Windwos自动更新的注册表项。创建批处理文件，自删原来的Virus/Autorun.ke 病毒体,病毒已经为自身复制了一份"SVSHOST.EXE"，原来的将被删除。

二、执行流程
    Virus/Autorun.ke 病毒自身复制到System32目录下，启动后会修改注册表，遍历磁盘文件，感染磁盘里所有的网页文件添加"iframe" 外部调用,对系统根目录下释放"AutoRun.inf",将自身复制与"AutoRun.inf"文件相同目录下命名为"lcg.exe"。完成感染环境的搭建后开启线程重复检测磁盘根目录下的"AutoRun.inf",如果没有就进行释放。

病毒技术要点
 Virus/Autorun.ke 病毒是自我复制，自我传播型病毒的典型，从自我复制对系统的启动调用，添加开机启动，感染系统所有磁盘，混淆创建"SVSHOST.EXE"来进行启动。

病毒清理流程
1. Virus/Autorun.ke 病毒的特征中毒后机器变慢，检测磁盘根目录下是否有隐藏的AutoRun.inf，并伴有lcg.exe。
2. 再通过安全软件查看系统里是否有SVSHOST.EXE的进程，如果发现应先结束该进程，通过资源管理器打开磁盘目录，删除里面的Autorun.inf 和lcg.exe（每个磁盘根目录都要操作）。在系统System32目录下搜索SVSHOST.EXE,找到后删除，在注册表中删除对应的项。

【来源：江民科技】