七月終結者病毒（Worm.Win32.Autorun.smn）病毒分析報告

通過掛馬網站、U盤傳播，對360、nod32等多種安全軟件有針對性的破壞或劫持，下載大量木馬病毒，破壞系統的一些功能，具有“機器狗病毒功能，能夠破壞系統還原。 1、病毒運行後首先會將自身屬性設置為“系統，隱藏，並判斷當前同目錄下是否存在autorun.inf文件，如果存在則打開當前病毒所在的盤符。如果不存在autorun.inf文件，則設置該病毒本體在重啟計算機後刪除。創建一個名為“MYLASTONE的互斥量，保證系統只有一個實例運行。 2、查找是否有ekrn.exe進程，如果有則執行如下指令 cmd /c sc delete ekrn cmd /c taskkill /im ekrn.exe /f cmd /c taskkill /im egui.exe /f 查找是否有nod32krn.exe進程，如果有則執行如下指令 cmd /c sc delete nod32krn cmd /c taskkill /im nod32krn.exe /f cmd /c taskkill /im nod32gui.exe /f 3、創建多個線程執行不同操作 線程1：在臨時文件夾下釋放一個dll?.tmp的文件，並獲取其導出表中的Rkdll函數地址，並加載該Dll文件 線程2：檢查%windir%system32dllcachelinkinfo.dll是否存在，如果不存在則將%windir%system32linkinfo.dll復制到%windir%system32dllcachelinkinfo.dll 線程3：每隔30秒查找是否有360tray.exe這個進程，如果有則釋放Fontssafeme.sys和Fontssafeg.sys這兩個驅動。查找360tray.exe，360Safe.exe，safeboxTray.exe，360safebox.exe的進程，得到它們的pid，並傳給Fontssafeme.sys這個驅動，該驅動調用MmUnmapViewOfSection函數釋放掉這些進程的內存，使他們退出。加載Fontssafeg.sys這個驅動，並直接向該驅動發IRP刪除C:Program Files360safesafemon360Tray.exe，D:Program Files360safesafemon360tray.exe，E:Program Files360safesafemon360tray.exe。 線程4：對avp.exe實行IFEO映像劫持，指向ntsd.exe;釋放驅動fontsdansl.sys，該驅動為機器狗類驅動，直接在系統底層替換掉%windir%system32linkinfo.dll 線程5：每隔30秒，向所有分區的根目錄下釋放autorun.inf和RGER.PIF。 Dll?.tmp文件功能： 創建一個線程，結束如下進程360Safe.exe, 360tray.exe, safeboxTray.exe, 360rpt.EXE, kmailmon.exe,kavstart.exe,KAVPFW.EXE,kwatch.exe,kav32.exe,kissvc.exe,UpdaterUI.exe, TBMon.exe nod32kui.exe nod32krn.exe KASARP.exe FrameworkService.exe scan32.exe VPC32.exe VPTRAY.exe AntiArp.exe….並對上述大多數進程進行映像劫持。 停止如下服務： sharedaccess McShield KWhatchsvc KPfwSvc Kingsoft Internet Security Common Servi Symantec AntiVirus norton AntiVirus server DefWatch Symantec AntiVirus Drivers Services Symantec AntiVirus Definition Watcher McAfee Framework 服務 Norton AntiVirus Server 針對IceSword查找類名為AfxControlBar42s的窗口，先發送WM_CLOSE再發送VK_RETURN消息模擬按回車鍵關閉冰刃。 操作SOFTWAREMicrosoftWindowsCurrentVersionexploreradvancedfolderhiddenshowall使得顯示隱藏文件不可用 刪除SOFTWAREMicrosoftWindowsCurrentVersionRun下面的360Safetray，360Safebox，360Safebox，vptray，ccApp相關鍵值。 刪除SYSTEMCurrentControlSetControlSafeBootMinimal和 SYSTEMCurrentControlSetControlSafeBootNetwork破壞安全模式 查找avp.exe，找到後，遍歷並卸載kavbase.kdl和webav.kdl這兩個模塊。 下載病毒和其他木馬程序。