AUTO病毒群分析以及相應解決方案

　　磁碟機病毒在各安全廠商和媒體的一致喊打聲中突然銷聲匿跡，但這僅僅是盜號集團的暫時退卻，很快，我們發現又一類利用配置autorun.inf配置自動運行的木馬下載者蜂湧而至，同樣，這些瘋狂的下載者，可一次性下載20-30個盜號木馬，用戶的電腦將面臨又一次蹂躏。

　　以下是這兩天極度猖獗的AUTO病毒最新變種的分析報告：

　　一．行為概述

　　該EXE是病毒下載器，它會：

　　1） 參考系統C盤卷序列號來算出服務名，EXE 和DLL 的文件名。

　　2） 在每一個驅動器下放置AUTO病毒autorun.inf 和自身副本auto.exe 並加系統和隱藏屬性。

　　3） 在系統system32 下放置自身副本“隨機名.exe 和釋放出來的“隨機名.dll 並將它們偽裝成具有隱藏屬性的系統文件。

　　4） 修改系統鍵值，將系統隱藏文件選項刪除，造成用戶無法查看隱藏起來的病毒文件。

　　5） 修改系統注冊表，將自己注冊為服務開機啟動。

　　6） 搜索注冊表啟動項裡是否有“360字符串鍵值，有了刪除，並用ntsd 關閉程序，搜索窗口是否含有“金山毒霸，有了模擬操作關閉。判斷進程裡是否有卡巴斯基的文件AVP.EXE， 有則修改系統時間，使得卡巴失效。

　　7） 通過網站文件列表下載其它病毒。

　　8） 刪除該病毒以前版本遺留的注冊表信息。

　　9） “隨機名.dll 會遠程注入系統進程中的所有進程

　　二．執行流程

　　1． 參考C 盤卷序列號的數值算出8 位隨機的服務名，exe 和dll 的文件名。（還記得AV終結者嗎？最開始出來就是隨機8位數文件名的EXE）

　　2． 搜索當前文件名是不是auto.exe，若是調用explorer.exe ShellExecuteA 打開驅動器。

　　3． 對抗殺毒軟件：

　　搜索注冊表啟動項裡是否有“360字符串鍵值，有則刪除，使得360以後都無法自動啟動。並緊接著關閉已啟動的360程序。

　　檢查當前進程中有沒有卡巴斯基的進程AVP.EXE ，有的話修改系統時間，令依賴系統時間進行激活和升級的卡巴失效。

　　病毒還會試圖關閉金山毒霸它查找毒霸的監視提示窗口"KAVStart" ，找到後通過PostMessageA 發送CLOSE 消息，然後用FindWindowExA 搜索"金山毒霸" 通過SendMessageA 發送關閉消息，以及模擬用戶，發送點擊鼠標按鍵消息關閉。不過，經測試以上方法都不能關閉金山毒霸。

　　4． 比較當前文件運行路徑是不是在系統SYSTEM32 下的隨機名，不是則復制自身副本到系統SYSTEM32 。

　　5． 將DLL注入系統進程，運行之後釋放det.bat 刪除自身

　　6． 病毒文件注入explorer.exe 或winlogon.exe 循環等待,利用它們的空間運行自己，實現隱蔽運行。

　　7． 查找啟動項裡是否有包含360 的字符串，有了刪除，並用SeDebugPrivilege 提升權限和ntsd 關閉程序，搜索窗口是否含有“金山毒霸，有了模擬操作關閉。

　　8．篡改注冊表中關於文件夾顯示狀態的相關數據，將系統隱藏文件選項刪除。

　　9． 病毒查找老版本的自己留下的注冊表信息，將其刪除，便於進行升級。

　　10． 從病毒作者指定的地址http://33.xi***id*8.cn/soft/update.txt 下載病毒列表，根據列表信息去下載其它病毒，每次下載一個，運行後刪除，再接著下載。

　　在它下載的病毒文件中，有木馬自己的升級文件和某國際知名品牌的網絡語音通訊軟件，另外還包含17個針對不同知名網游的盜號木馬，而在這些木馬中，有一些其本身也具備下載功能。如果它們成功進入電腦，將引發無法估計的更大破壞。

　　11．除在本機上進行盜號，病毒還將自己的AUTO病毒文件auto.exe 和autorun.inf 釋放到每一個磁盤分區裡。autorun.inf 指向auto.exe。只要用戶用鼠標雙擊含毒磁盤，病毒就會立即運行，搜索包含U盤等移動存儲器在內的全部磁盤，如果發現有哪個磁盤尚未中毒，就立刻將其感染，擴大自己的傳染范圍。

　　三．刪除方法

　　由於病毒DLL 文件遠程注入包括系統進程在內的所有進程，采取直接刪除的辦法是無法徹底清楚的，必須刪除DLL，同時刪除服務，重起，在進行掃尾刪除，由於該病毒換算需要大量時間，在剛開機時不能馬上釋放DLL 進行注入，此時也是清除的最佳時機。

　　建議用戶使用金山清理專家將這些隨機8位數命名的DLL和EXE，添加到文件粉碎器的刪除列表，將這些文件一次性徹底刪除。重啟後，再修復殘留的注冊表加載項。

　　四．Auto病毒專殺工具

　　auto木馬群專殺1.4功能：

　　1、對映像劫持的處理

　　2、對使毒霸監控變灰的msosXXX病毒的處理

　　3、對auto木馬群下載者處理

　　4、對Appinit_Dlls處理

　　5、對執行掛鉤的處理

　　下載金山AUTO木馬群專殺工具：http://www.q.cc/2008/03/31/11261.html

　　第一招：擁有U盾高枕無憂

　　U盾(個人網上銀行客戶證書)是中國工商銀行率先推出並獲得國家專利、專門用於保護網上銀行客戶安全的“智能衛士。如果客戶已經申請了U盾，只要保管好自己手中的U盾及其密碼，就可以高枕無憂，簡單、安全地使用網上銀行，不用再擔心黑客、假網站、木馬病毒等各種風險隱患。

　　第二招：預留信息驗證

　　“預留信息驗證是中國工商銀行為幫助客戶有效識別銀行網站、防范不法分子利用假網站進行網上詐騙的一項服務。客戶可以在銀行預先記錄一段文字(即“預留信息)，當客戶登錄中國工商銀行個人網上銀行、在購物網站進行在線支付或在線簽訂委托代扣協議時，網頁上會自動顯示客戶的預留信息，以便客戶驗證該網站是否為真實的工商銀行網站。如果網頁上沒有顯示預留信息或顯示的信息與客戶的預留信息不符，便可以確認該網站是假網站。

　　第三招：輸入正確網址登錄

　　建議客戶手工輸入正確網址登錄中國工商銀行網站，並將之添加到IE浏覽器的“收藏夾中，方便下次使用。不要通過超級鏈接訪問中國工商銀行網站。

　　中國工商銀行門戶網站地址：http://www.icbc.com.cn;中國工商銀行個人網上銀行登錄地址：https：//mybank.icbc.com.cn/icbc/perbank/index.jsp。　

　　第四招：核對網址

　　建議客戶在登錄中國工商銀行網上銀行或進行在線支付時，留意核對所登錄的網址與中國工商銀行公布的網址是否相符，謹防不法分子惡意模仿中國工商銀行網站，騙取客戶信息。中國工商銀行個人網上銀行登錄頁面和在線支付頁面的網址均以https：//mybank.icbc.com.cn開頭。

　　第五招：查看安全鎖

　　中國工商銀行個人網上銀行登錄頁面和網上支付頁面都經過128位SSL加密處理，在打開上述頁面時，在IE浏覽器右下角狀態欄上會顯示一個“掛鎖圖形的安全證書標識。點擊掛鎖，應顯示如下信息：

　　頒發給：mybank.icbc.com.cn頒發者：www.verisign.com/CPSIn-corp.byRef.LIABILITYLTD.(c)97VeriSign中國工商銀行商城頻道

　　第六招：分辨電子商務網站真偽

　　客戶進行在線支付時，如無法辨別電子商務網站的真偽，也可登錄中國工商銀行網站的商城頻道，查詢該電子商務網站是否開通中國工商銀行在線支付服務。此外，請客戶牢記，真正的工商銀行在線支付頁面首先會提示客戶輸入支付卡號和驗證碼;客戶正確輸入相關信息後，會顯示客戶在中國工商銀行的預留信息供客戶核對;如果客戶核對返回的信息有誤或有疑問時，應馬上停止操作並致電95588;如果核對返回信息無誤，U盾客戶可以按照系統提示插入U盾輸入密碼完成支付，口令卡客戶應按照系統提示的兩個坐標，輸入口令卡上對應坐標密碼完成支付。

　　需要特別注意的是，每一次在線支付時，中國工商銀行系統只會給出兩個坐標要求客戶輸入。如網站要求客戶一次輸入兩個以上的坐標口令，請客戶提高警惕，並致電中國工商銀行客戶熱線95588進行確認。

　　第七招：健全軟件

　　建議客戶為個人電腦安裝防火牆程序，並經常升級，防止個人賬戶信息遭到黑客竊取。此外，為防止他人利用軟件漏洞進入計算機竊取資料，建議客戶還應及時更新下載Windows操作系統的補丁程序。

　　第八招：提高警惕

　　中國工商銀行網站由專業部門管理，運行穩定，一般情況下不會出現“系統維護的提示。若遇重大事件，系統必須暫停服務時，都會提前通過門戶網站、95588服務電話等渠道公告客戶，但絕對不會通過郵件、短信、電話等方式要求客戶到指定的網頁修改密碼。此外，銀行在任何情況下都不會以郵件、短信、電話等方式通知客戶中獎，並要求客戶在領取獎金前先支付稅金、郵費等。如客戶接到此類電子郵件、短信或電話等異常情況，請直接撥打中國工商銀行客戶服務電話95588聯系、舉報。

　　ARP欺騙(地址解析協議欺騙)是一種存在於局域網中的惡意欺騙攻擊行為，如果進行“ARP欺騙的惡意木馬程序入侵某個局域網中的計算機系統，那麼該系統就會試圖通過ARP攻擊手段截獲所在局域網絡內其他計算機系統的通信信息，導致該局域網出現突然掉線，過一段時間後又會恢復正常的現象。同時，網內的其他計算機系統也會受到影響，出現IP地址沖突、頻繁斷網、IE浏覽器頻繁出錯以及系統