分析报告/AOTU

一．行为概述

　　该EXE是病毒下载器，它会： 　　1.参考系统C盘卷序列号来算出服务名，EXE和DLL的文件名。 　　2.在每一个驱动器下放置auto病毒autorun.inf和自身副本auto.exe并加系统和隐藏属性。 　　3.在系统system32下放置自身副本“随机名.exe”和释放出来的“随机名.dll”并将它们伪装成具有隐藏属性的系统文件。 　　4.修改系统键值，将系统隐藏文件选项删除，造成用户无法查看隐藏起来的病毒文件。 　　5.修改系统注册表，将自己注册为服务开机启动。 　　6.搜索注册表启动项里是否有“360”字符串键值，有了删除，并用ntsd关闭程序，搜索窗口是否含有“杀毒软件”，有了模拟操作关闭。判断进程里是否有卡巴斯基的文件avp.exe，有则修改系统时间，使得卡巴失效。 　　7.通过网站文件列表下载其它病毒。 　　8.删除该病毒以前版本遗留的注册表信息。 　　9.“随机名.dll”会远程注入系统进程中的所有进程

　　1.参考C盘卷序列号的数值算出8位随机的服务名，exe和dll的文件名。（还记得AV终结者吗？最开始出来就是随机8位数文件名的EXE） 　　2.搜索当前文件名是不是auto.exe，若是调用explorer.exeShellExecuteA打开驱动器。 　　3.对抗杀毒软件： 　　1）搜索注册表启动项里是否有“360”字符串键值，有则删除，使得360以后都无法自动启动。并紧接着关闭已启动的360程序。 　　2）检查当前进程中有没有卡巴斯基的进程AVP.EXE，有的话修改系统时间，令依赖系统时间进行激活和升级的卡巴失效。 　　3）病毒还会试图关闭杀毒软件它查找毒霸的监视提示窗口"KAVStart"，找到后通过PostMessageA发送CLOSE消息，然后用FindWindowExA搜索"杀毒软件"通过SendMessageA发送关闭消息，以及模拟用户，发送点击鼠标按键消息关闭。不过，经测试以上方法都不能关闭绝大部分杀毒软件。 　　4.比较当前文件运行路径是不是在系统SYSTEM32下的随机名，不是则复制自身副本到系统SYSTEM32。 　　5.将DLL注入系统进程，运行之后释放det.bat删除自身 　　6.病毒文件注入explorer.exe或winlogon.exe循环等待,利用它们的空间运行自己，实现隐蔽运行。 　　7.查找启动项里是否有包含360的字符串，有了删除，并用SeDebugPrivilege提升权限和ntsd关闭程序，搜索窗口是否含有“杀毒软件”，有了模拟操作关闭。 　　8.篡改注册表中关于文件夹显示状态的相关数据，将系统隐藏文件选项删除。 　　9.病毒查找老版本的自己留下的注册表信息，将其删除，便于进行升级。 　　10.从病毒作者指定的地址33.xi***id*8/soft/update.txt下载病毒列表，根据列表信息去下载其它病毒，每次下载一个，运行后删除，再接着下载。 　　在它下载的病毒文件中，有木马自己的升级文件和某国际知名品牌的网络语音通讯软件，另外还包含17个针对不同知名网游的盗号木马，而在这些木马中，有一些其本身也具备下载功能。如果它们成功进入电脑，将引发无法估计的更大破坏。 　　11.除在本机上进行盗号，病毒还将自己的AUTO病毒文件auto.exe和autorun.inf释放到每一个磁盘分区里。autorun.inf指向auto.exe。只要用户用鼠标双击含毒磁盘，病毒就会立即运行，搜索包含U盘等移动存储器在内的全部磁盘，如果发现有哪个磁盘尚未中毒，就立刻将其感染，扩大自己的传染范围。

　　1.由于病毒DLL文件远程注入包括系统进程在内的所有进程，采取直接删除的办法是无法彻底清楚的，必须删除DLL，同时删除服务，重起，在进行扫尾删除，由于该病毒换算需要大量时间，在刚开机时不能马上释放DLL进行注入，此时也是清除的较佳时机。 　　2.建议用户使用金山清理专家将这些随机8位数命名的DLL和EXE，添加到文件粉碎器的删除列表，将这些文件一次性彻底删除。重启后，再修复残留的注册表加载项。

　　下载地址：bbs.duba/attachment.php?aid=16127097 　　提示：请及时升级杀毒软件！！ 　　病毒特点 　　该病毒通过给QQ好友发送“陈冠希原版相片.rar”来进行传播，自身通过镜项劫持安全软件和在驱动 　　器下建立autorun.inf来自启动，并下载40多种病毒木马。结束安全软件进程，并修改系统时间。修 　　改注册表破坏安全模式登录，影响显示隐藏文件。

病毒分析/AOTU

　　1.创建自动运行文件，在各磁盘根目录会发现explorer.pif和autorun.inf文件 　　2.尝试关闭以下安全软件的进程 　　Safe.exe；360tray.exe；vstskmgr.exe；runiep.exe；RAS.exe；updaterui.exe；TBMon.exe； 　　KASARP.exe；scan32.exe；vpc32.exe；VPTRAY.exe；antiarp.exe；kregex.exe；KvXP.kxp； 　　kvsrvxp.kxp；kvsrvxp.exe；kvwsc.exe；iparmor.exe；AST.EXE 　　3.向QQ聊天窗口发送陈冠希原版相片.rar的病毒文件，该压缩包充分利用了社会工程学原理进行欺骗， 　　双击就会中招。 　　4.修改系统时间为2002年 　　5.尝试停止安全软件的服务 　　6.将自身拷贝到"C:WINDOWSsystem32wuauc1t.exe"，并将属性改为系统隐藏。 　　7.通过***/下载大量盗号木马 　　8.修改"SOFTWAREMicrosoftWindowsCurrentVersionexploreradvancedfolderhiddenshowall" 　　的CheckedValue项改为0（默认为1），破坏显示隐藏的系统文件 　　9.删除HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlsafebootMinimal，来破坏安全模 　　式，导致无法启动系统到安全模式来杀毒。 　　10.映像劫持以下安全软件为 　　"C:WINDOWSsystem32wuauc1t.exe"，使得运行以下软件时，实际执行的是病毒程序。360rpt.EXE； 　　360safe.EXE；360tray.EXE；AVP.EXE；AvMonitor.EXE；CCenter.exe；IceSword.EXE；Iparmor.EXE； 　　kvmonxp.kxp；KVSrvXP.EXE；KVWSC.EXE；navapsvc.exe；nod32kui.exe；KRegEx.EXE； 　　frameworkService.exe；mmsk.exe；wuauclt.exe；Ast.EXE；WOPTILITIES.EXE；Regedit.EXE； 　　AutoRunKiller.exe；VPC32.exe；VPTRAY.exe；ANTIARP.exe；KASARP.exe；QQDOCTOR.EXE

解决办法/AOTU

　　1.使用进程管理器关闭IEXPLORE.EXE、wuauc1t.exe、explorer.pif进程。 　　2.将金山清理专家主程序KASMAIN.EXE重命名，再执行。然后修复镜项劫持、安全模式、和隐藏文件选 　　项 　　3.删除以下文件： 　　%windir%system32wuauc1t.exe 　　%TempPath%陈冠希原版相片.rar 　　c:sys.pif 　　c:1~40.pif 　　%windir%system32syurl.dll 　　4.如果不可以打开IE搜索杀毒软件和任何关于系统的字眼，可通过QICQ等渠道或许直接下载360安全卫士下载地址。然后连续安装多个360安全卫士。一直到出现杀毒完成请重新启动计算机。本人尝试多次。可行！AOTURUN不可直接结束360安装前扫描。 　　各驱动器下的explorer.pif和autorun.inf