海色の月

档案编号：CISRT2007090
病毒名称：Virus.Win32.AutoRun.am [exe]（Kaspersky）, Virus.Win32.AutoRun.bk [dll]（Kaspersky）
病毒别名：Trojan.PSW.Win32.OnlineGames.dgb（瑞星）
　　　　　 Win32.Troj.Autorun.n.23087 [exe]（毒霸）, Win32.Troj.Poseidon.r.61487 [dll]（毒霸）
病毒大小：23,087 字节
加壳方式：PE_Patch.UPX UPX
样本MD5：32bc55c042c9f0dac633e12728ccf02c
样本SHA1：46346fdc207c3673ebb8d3a77bb814e0ec442d6c
发现时间：2007.7.10
更新时间：2007.7.11
关联病毒：
传播方式：其它病毒/木马下载，可通过移动存储设备传播


技术分析
==========

变种：
【CISRT2007075】木马 romdrivers.dll romdrivers.bak 解决方案

木马运行后复制自身到：
%ProgramFiles%\Internet Explorer\msvcrt.bak
释放dll注入Explorer.exe进程：
%ProgramFiles%\Internet Explorer\msvcrt.dll
同时还创建msvcrt.dll的副本，作为BHO启动：
%ProgramFiles%\Common Files\Relive.dll

创建ShellExecuteHooks启动方式：

复制内容到剪贴板

代码:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{0FAD2E16-C8EF-5AC1-1E6A-AE3FD8EF56B3}"

[HKEY_CLASSES_ROOT\CLSID\{0FAD2E16-C8EF-5AC1-1E6A-AE3FD8EF56B3}\InProcServer32]
@="%ProgramFiles%\Internet Explorer\msvcrt.dll"

创建浏览器加载项（BHO）：

复制内容到剪贴板

代码:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D3626E66-B13B-C628-ACDF-BDABCFA265E1}]

[HKEY_CLASSES_ROOT\CLSID\{D3626E66-B13B-C628-ACDF-BDABCFA265E1}\InProcServer32]
@="%ProgramFiles%\Common Files\Relive.dll"

在反病毒软件安装目录下创建ws2_32.dll目录，并在ws2_32.dll目录中创建名为!1!1.的目录，这样ws2_32.dll目录不能被直接删除，从而影响到反病毒软件的正常运行。比如：
C:\Program Files\Rising\Rav\ws2_32.dll\!1!1.
C:\KAV2007\ws2_32.dll\!1!1.

木马会删除一些其它木马在注册表ShellExecuteHooks下创建的信息：

引用:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
{131AB311-16F1-F13B-1E43-11A24B51AFD1}
{274B93C2-A6DF-485F-8576-AB0653134A76}
{1496D5ED-7A09-46D0-8C92-B8E71A4304DF}
{0CB68AD9-FF66-3E63-636B-B693E62F6236}
{09B68AD9-FF66-3E63-636B-B693E62F6236}
{754FB7D8-B8FE-4810-B363-A788CD060F1F}
{A6011F8F-A7F8-49AA-9ADA-49127D43138F}
{06A68AD9-FF56-6E73-937B-B893E72F6226}
{01F6EB6F-AB5C-1FDD-6E5B-FB6EE3CC6CD6}
{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8}
{BC0ACA58-6A6F-51DA-9EFE-9D20F4F621BA}
{AEB6717E-7E19-11d0-97EE-00C04FD91972}
{99F1D023-7CEB-4586-80F7-BB1A98DB7602}
{FEB94F5A-69F3-4645-8C2B-9E71D270AF2E}
{923509F1-45CB-4EC0-BDE0-1DED35B8FD60}
{42A612A4-4334-4424-4234-42261A31A236}
{DE35052A-9E37-4827-A1EC-79BF400D27A4}
{DD7D4640-4464-48C0-82FD-21338366D2D2}
*{AEB6717E-7E19-11d0-97EE-00C04FD91972}

删除目录：

引用:

%temp%\smss.exe
%temp%\csrss.exe
%temp%\svchost32.exe
%temp%\svchost.exe
%temp%\conime.exe
%temp%\ctfmon.exe
%temp%\mmc.exe
%temp%\services.exe
%temp%\IEXPLORE.EXE
%temp%\stpgldk.exe
%temp%\srogm.exe
%temp%\spglsdr.exe
%temp%\copypfh.exe
%temp%\okfile.exe
%temp%\fyso.exe
%temp%\jtso.exe
%temp%\mhso.exe
%temp%\wdso.exe
%temp%\wgso.exe
%temp%\wlso.exe
%temp%\wmso.exe
%temp%\woso.exe
%temp%\ztso.exe
%temp%\daso.exe
%temp%\tlso.exe
%temp%\rxso.exe
%temp%\fyso0.dll
%temp%\jtso0.dll
%temp%\mhso0.dll
%temp%\qjso0.dll
%temp%\wdso0.dll
%temp%\wgso0.dll
%temp%\wlso0.dll
%temp%\wmso0.dll
%temp%\woso0.dll
%temp%\ztso0.dll
%temp%\tlso0.dll
%temp%\daso0.dll
%temp%\rxso0.dll
%ProgramFiles%\Internet Explorer\msvcrt.dll
%ProgramFiles%\Internet Explorer\msvcrt.bak
%ProgramFiles%\Internet Explorer\msvcrt.ebk

注：如果存在msvcrt.ebk目录，木马会创建msvcrt.ebk文件，该文件是msvcrt.dll的副本。

删除文件：

引用:

%System%\drivers\etc\hosts

木马会访问网络下载其它木马程序，之前的操作即是为这些木马的种植做准备。

此外，该木马还会往移动设备根目录复制副本：
Ghost.pif
创建autorun.inf利用系统自动播放增加自己被运行和传播的机会：

复制内容到剪贴板

代码:

[autorun]
open=Ghost.pif
shellexecute=Ghost.pif
shell\Auto\command=Ghost.pif
shell=Auto

清除步骤
==========

1. 删除木马创建的注册表信息：

复制内容到剪贴板

代码:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{0FAD2E16-C8EF-5AC1-1E6A-AE3FD8EF56B3}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D3626E66-B13B-C628-ACDF-BDABCFA265E1}]

[HKEY_CLASSES_ROOT\CLSID\{0FAD2E16-C8EF-5AC1-1E6A-AE3FD8EF56B3}]

[HKEY_CLASSES_ROOT\CLSID\{D3626E66-B13B-C628-ACDF-BDABCFA265E1}]

2. 重新启动计算机

3. 删除木马相关文件：
%ProgramFiles%\Internet Explorer\msvcrt.bak
%ProgramFiles%\Internet Explorer\msvcrt.dll
%ProgramFiles%\Common Files\Relive.dll
%ProgramFiles%\Internet Explorer\msvcrt.ebk（可能存在）

4. 删除反病毒软件安装目录下的ws2_32.dll目录，可以使用rd /s命令，比如：

复制内容到剪贴板

代码:

rd /s "C:\Program Files\Rising\Rav\ws2_32.dll"
rd /s C:\KAV2007\ws2_32.dll

5. 通过资源管理器树形目录进入移动设备根目录，删除文件：
Ghost.pif
autorun.inf

6. 创建%System%\drivers\etc\hosts文件：
内容为一行即可：

复制内容到剪贴板

代码:

127.0.0.1        localhost

发布时间：2007-07-11 12:00
更新时间：2007-07-11 18:06