档案编号:CISRT2007075
病毒名称:Virus.Win32.AutoRun.p(Kaspersky)
病毒别名:Worm.Win32.Agent.i(瑞星)
Win32.Troj.RomDrivers.g.69703(毒霸)
病毒大小:20,039 字节
加壳方式:UPX
样本MD5:4e851ecbc46c3c9b845b55b5af67b07c
样本SHA1:37b4a5047f0d8d975248ca9b44e3cbfa94a576c7
发现时间:2007.6
更新时间:2007.6
关联病毒:
传播方式:其它病毒/木马下载,可通过移动存储设备传播
技术分析
==========
木马运行后复制自身到IE目录:
%ProgramFiles%\Internet Explorer\romdrivers.bak
并释放dll注入Explorer.exe进程:
%ProgramFiles%\Internet Explorer\romdrivers.dll
创建ShellExecuteHooks启动方式:
复制内容到剪贴板
代码:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{09B68AD9-FF66-3E63-636B-B693E62F6236}"=""
[HKEY_CLASSES_ROOT\CLSID\{09B68AD9-FF66-3E63-636B-B693E62F6236}\InProcServer32]
@="%ProgramFiles%\Internet Explorer\romdrivers.dll"如果romdrivers.dll文件已经存在,木马会生成相同内容不同文件名的
romdrivers.bkk来替换romdrivers.dll,设置注册表延迟重命名信息:
复制内容到剪贴板
代码:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
"PendingFileRenameOperations"数据内容如:
复制内容到剪贴板
代码:
\??\C:\Program Files\Internet Explorer\romdrivers.bkk
!\??\C:\Program Files\Internet Explorer\romdrivers.dll木马可能在分区根目录创建副本:
X:\Ghost.pif
X:\autorun.inf
autorun.inf内容:
复制内容到剪贴板
代码:
[autorun]
open=Ghost.pif
shellexecute=Ghost.pif
shell\Auto\command=Ghost.pif
shell=Auto删除注册表中ShellExecuteHooks下的木马CLSID:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{754FB7D8-B8FE-4810-B363-A788CD060F1F}
{A6011F8F-A7F8-49AA-9ADA-49127D43138F}
{06A68AD9-FF56-6E73-937B-B893E72F6226}
{AEB6717E-7E19-11d0-97EE-00C04FD91972}
{99F1D023-7CEB-4586-80F7-BB1A98DB7602}
{FEB94F5A-69F3-4645-8C2B-9E71D270AF2E}
{923509F1-45CB-4EC0-BDE0-1DED35B8FD60}
{42A612A4-4334-4424-4234-42261A31A236}
{DE35052A-9E37-4827-A1EC-79BF400D27A4}
{DD7D4640-4464-48C0-82FD-21338366D2D2}
{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
{131AB311-16F1-F13B-1E43-11A24B51AFD1}
{274B93C2-A6DF-485F-8576-AB0653134A76}
{1496D5ED-7A09-46D0-8C92-B8E71A4304DF}
{01F6EB6F-AB5C-1FDD-6E5B-FB6EE3CC6CD6}
{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8}
{BC0ACA58-6A6F-51DA-9EFE-9D20F4F621BA}
删除临时目录%temp%中以下列木马文件名命名的文件夹:
fyso.exe
jtso.exe
mhso.exe
qjso.exe
qqso.exe
wgso.exe
wlso.exe
wmso.exe
woso.exe
ztso.exe
daso.exe
tlso.exe
rxso.exe
smss.exe
csrss.exe
svchost32.exe
svchost.exe
conime.exe
ctfmon.exe
mmc.exe
services.exe
IEXPLORE.EXE
stpgldk.exe
srogm.exe
spglsdr.exe
copypfh.exe
fyso0.dll
jtso0.dll
mhso0.dll
qjso0.dll
qqso0.dll
wgso0.dll
wlso0.dll
wmso0.dll
woso0.dll
ztso0.dll
tlso0.dll
daso0.dll
rxso0.dll
删除%ProgramFiles%\Internet Explorer\PLUGINS中以下列木马文件名命名的文件夹:
BinNice.dll
BinNice.bak
BinNice.bkk
删除%ProgramFiles%\Internet Explorer中以下列木马文件名命名的文件夹:
HiJack.dll
HiJack.bak
HiJack.bkk
romdrivers.dll
romdrivers.bak
romdrivers.bkk
尝试删除的文件还有:
%ProgramFiles%\Internet Explorer\Autorun.inf
%ProgramFiles%\Internet Explorer\PLUGINS\System64.sys
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\NewInfo.bmp
%System%\drivers\etc\hosts
木马之所以这样做可能是为后续的盗号木马植入做准备,此外,该木马还可能会修改Kaspersky的配置信息使其无法正常运行,尝试访问网络下载其它木马程序。
清除步骤
==========
1. 删除木马创建的ShellExecuteHooks项目:
复制内容到剪贴板
代码:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{09B68AD9-FF66-3E63-636B-B693E62F6236}"
[HKEY_CLASSES_ROOT\CLSID\{09B68AD9-FF66-3E63-636B-B693E62F6236}]2. 重新启动计算机
3. 删除木马文件:
%ProgramFiles%\Internet Explorer\romdrivers.bak
%ProgramFiles%\Internet Explorer\romdrivers.dll
%ProgramFiles%\Internet Explorer\romdrivers.bkk
4. 通过资源管理器进入分区根目录,删除文件:
X:\Ghost.pif
X:\autorun.inf
[视频]如何安全地进入分区根目录:
http://www.cisrt.org/blog/read.php?343
发布时间:2007-06-26 11:17
更新时间:2007-06-27 09:08
Copyright © 2006-2009 C.I.S.R.T.
