七月终结者病毒（Worm.Win32.Autorun.smn）病毒分析报告

dn001 2009-08-04 13:59:01

通过挂马网站、U盘传播，对360、nod32等多种安全软件有针对性的破坏或劫持，下载大量木马病毒，破坏系统的一些功能，具有“机器狗病毒功能，能够破坏系统还原。

1、病毒运行后首先会将自身属性设置为“系统，隐藏，并判断当前同目录下是否存在autorun.inf文件，如果存在则打开当前病毒所在的盘符。如果不存在autorun.inf文件，则设置该病毒本体在重启计算机后删除。创建一个名为“MYLASTONE的互斥量，保证系统只有一个实例运行。

2、查找是否有ekrn.exe进程，如果有则执行如下指令

cmd /c sc delete ekrn

cmd /c taskkill /im ekrn.exe /f

cmd /c taskkill /im egui.exe /f

查找是否有nod32krn.exe进程，如果有则执行如下指令

cmd /c sc delete nod32krn

cmd /c taskkill /im nod32krn.exe /f

cmd /c taskkill /im nod32gui.exe /f

3、创建多个线程执行不同操作

线程1：在临时文件夹下释放一个dll?.tmp的文件，并获取其导出表中的Rkdll函数地址，并加载该Dll文件

线程2：检查%windir%system32dllcachelinkinfo.dll是否存在，如果不存在则将%windir%system32linkinfo.dll复制到%windir%system32dllcachelinkinfo.dll

线程3：每隔30秒查找是否有360tray.exe这个进程，如果有则释放Fontssafeme.sys和Fontssafeg.sys这两个驱动。查找360tray.exe，360Safe.exe，safeboxTray.exe，360safebox.exe的进程，得到它们的pid，并传给Fontssafeme.sys这个驱动，该驱动调用MmUnmapViewOfSection函数释放掉这些进程的内存，使他们退出。加载Fontssafeg.sys这个驱动，并直接向该驱动发IRP删除C:Program Files360safesafemon360Tray.exe，D:Program Files360safesafemon360tray.exe，E:Program Files360safesafemon360tray.exe。

线程4：对avp.exe实行IFEO映像劫持，指向ntsd.exe;释放驱动fontsdansl.sys，该驱动为机器狗类驱动，直接在系统底层替换掉%windir%system32linkinfo.dll

线程5：每隔30秒，向所有分区的根目录下释放autorun.inf和RGER.PIF。

Dll?.tmp文件功能：

创建一个线程，结束如下进程360Safe.exe, 360tray.exe, safeboxTray.exe, 360rpt.EXE, kmailmon.exe,kavstart.exe,KAVPFW.EXE,kwatch.exe,kav32.exe,kissvc.exe,UpdaterUI.exe, TBMon.exe nod32kui.exe nod32krn.exe KASARP.exe FrameworkService.exe scan32.exe VPC32.exe VPTRAY.exe AntiArp.exe….并对上述大多数进程进行映像劫持。

停止如下服务：

sharedaccess

McShield

KWhatchsvc

KPfwSvc

Kingsoft Internet Security Common Servi

Symantec AntiVirus

norton AntiVirus server

DefWatch

Symantec AntiVirus Drivers Services

Symantec AntiVirus Definition Watcher

McAfee Framework 服务