病毒名称 Worm/Win32.Downloader.aas

档案 MD5 95C25C1D364CE0A173916595D8025C05

档案长度 16,588 位元组

感染系统 Windows98以上版本

加壳类型 WinUpack 0.39 final -> By Dwing

该病毒为下载者木马，病毒运行后，创建的驱动档案主要行为恢复SSDT躲避部分安全软体的主要防御提示，获取user32.dll档案创建时间将该驱动档案设定为user32.dll档案创建时间，并打开BEEP服务、使用系统服务载入病毒驱动档案，通过遍历进程查找大量安全软体进程如存在则添加注册表映射劫持，遍历进程查找avp.exe、RStray.exe进程，找到传送关闭讯息，创建病毒驱动设备名"\\.\PciFtDisk"判断%Windir%目录下的explorer.exe是否有效，将kernel32.dll载入到该进程中，拷贝%System32%目录下的"urlmon.dll"到临时目录下，动态载入临时目录下的"urlmon.dll"档案，调用API函式连线网路读取信息下载大量恶意档案，监视部分安全软体窗体，如传送后则传送关闭讯息，衍生svchost.exe、绿化.bat到%Temp%临时目录下，查找\WinRAR\Rar.exe安装路径，遍历查找所有分区的.rar，.zip，.tgz，.cab，.tar档案，找到后调用winrar命令"-ep a"执行 %Temp%\绿化.bat档案，通过区域网路ipc$共享传播自身。

1、创建名为"u1s2a3f4e5n6o7w"的互斥量，防止病毒多次运行产生冲突，遍历进程查找"winlogon.exe"进程，找到之后打开该进程ID，动态将"sfc_os.dll"载入该进程中，获取该动态程式库基址，删除%System32%\dllcache、%System32%\drivers目录下的Beep.sys档案。

2、档案运行后会释放以下档案

%System32%\drivers\Beep.sys （恢复SSDT躲避部分安全软体的主要防御提示）

%Temp%\svchost.exe （通过区域网路ipc$共享传播自身）

%Temp%\绿化.bat

3、添加注册表映射劫持

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\被劫持的档案名称\Debugger

值: 字元串: "ntsd -d"

360Safe.exe、360safebox.exe、360tray.exe、adam.exe、AgentSvr.exe、AntiArp.exe、AppSvc32.exe、arswp.exe、AST.exe、autoruns.exe、avcenter.exe、avconsol.exe、avgnt.exe、avgrssvc.exe、AvMonitor.exe、avp.com、avp.exe、CCenter.exe、ccSvcHst.exe、DrvAnti.exe、EGHOST.exe、FileDsty.exe、filemon.exe、FTCleanerShell.exe、FYFireWall.exe、GFRing3.exe、GFUpd.exe、HijackThis.exe、IceSword.exe、iparmo.exe、Iparmor.exe、isPwdSvc.exe、kabaload.exe、KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、KAVPFW.exe、KAVSetup.exe、KAVStart.exe、KISLnchr.exe、KMailMon.exe、KMFilter.exe、KPFW32.exe、KPFW32X.exe、KPfwSvc.exe、Kregex.exe、KRepair.com、KsLoader.exe、KvDetect.exe、KvfwMcl.exe、kvol.exe、kvolself.exe、KVSrvXP.exe、kvupload.exe、kvwsc.exe、KvXP.kxp、KWatch.exe、KWatch9x.exe、KWatchX.exe、MagicSet.exe、mcconsol.exe、McNASvc.exe、McProxy.exe、Mcshield.exe、mcsysmon.exe、mmqczj.exe、mmsk.exe、MpfSrv.exe、Navapsvc.exe、Navapw32.exe、NAVSetup.exe、nod32.exe、nod32krn.exe、nod32kui.exe、NPFMntor.exe、PFW.exe、PFWLiveUpdate.exe、ProcessSafe.exe、procexp.exe、QHSET.exe、QQDoctor.exe、QQDoctorMain.exe、QQKav.exe、Ras.exe、Rav.exe、RavMon.exe、RavMonD.exe、RavStub.exe、RavTask.exe、RawCopy.exe、RegClean.exe、regmon.exe、RegTool.exe、rfwcfg.exe、rfwmain.exe、rfwProxy.exe、rfwsrv.exe、rfwstub.exe、RsAgent.exe、Rsaupd.exe、RStray.exe、rstrui.exe、Rtvscan.exe、runiep.exe、safeboxTray.exe、safelive.exe、scan32.exe、SelfUpdate.exe、shcfg32.exe、SmartUp.exe、SREng.exe、SuperKiller.exe、symlcsvc.exe、SysSafe.exe、taskmgr.exe、TrojanDetector.exe、Trojanwall.exe、TrojDie.exe、UIHost.exe、UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、upiea.exe、UpLive.exe、USBCleaner.exe、vsstat.exe、webscanx.exe、WoptiClean.exe、zxsweep.exe

描述被劫持的档案列表

4、获取user32.dll档案创建时间将该驱动档案设定为user32.dll档案创建时间，并打开BEEP服务、使用系统服务载入病毒驱动档案，遍历进程查找avp.exe、RStray.exe进程，找到传送关闭讯息，创建病毒驱动设备名"\\.\PciFtDisk"判断%Windir%目录下的explorer.exe是否有效，将kernel32.dll载入到该进程中，拷贝%System32%目录下的"urlmon.dll"到临时目录下，动态载入临时目录下的"urlmon.dll"档案。

5、监视部分安全软体窗体，如传送后则传送关闭讯息，查找\WinRAR\Rar.exe安装路径，遍历查找所有分区的.rar，.zip，.tgz，.cab，.tar档案，找到后调用winrar命令"-ep a"执行 %Temp%\绿化.bat档案，通过网路ipc$共享传播自身。

协定TCP

连线埠80

连线地址http://www.hfdy2929.com/bak.txt

描述连线该地址读取列表下载大量恶意病毒档案

注%System32%是一个可变路径。病毒通过查询作业系统来决定当前System资料夹的位置。

%Windir% 　 　 WINDODWS所在目录

%DriveLetter%　 　 逻辑驱动器根目录

%ProgramFiles%　 　 　 系统程式默认安装目录

%HomeDrive% 　 当前启动的系统的所在分区

%Documents and Settings% 　当前用户文档根目录

%Temp% 　\Documents and Settings\当前用户\Local Settings\Temp

%System32% 　系统的 System32资料夹

Windows2000/NT中默认的安装路径是C:\Winnt\System32

windows95/98/me中默认的安装路径是%WINDOWS%\System

windowsXP中默认的安装路径是%system32%

（1）使用ATOOL管理工具，“进程管理”查找结束病毒进程"hun.exe"。

（2） 强行删除病毒衍生及下载的大量病毒档案

%System32%\drivers\Beep.sys

%Temp%\svchost.exe

%Temp%\绿化.bat

（3）删除病毒添加的注册表启动项及劫持的安全软体项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\被劫持的档案名称\Debugger

删除Image File Execution Options键下被劫持的档案名称