comine.exe,Worm.Win32.AutoRun.yr,autorun.inf

taong

病毒名称

Worm.Win32.AutoRun.yr

捕获时间

2008-1-9

病毒症状

    该程序是使用Delphi编写的病毒程序，采用FSG加壳方式试图躲避特征码扫描,加壳后长度为36,309字节，使用Windows默认可执行文件图标，病毒扩展名为exe，主要通过网页木马、文件捆绑、移动存储介质传播。
   
病毒分析

    该程序被激活后，拷贝自身到％systemroot％\system32目录下，重命名为comine.exe，修改文件属性为隐藏和系统；
通过修改注册表实现修改IE默认主页、隐藏病毒文件、禁用任务管理器、禁用Windows自动更新功能；
删除安全模式对应的注册表项，使用户不能通过安全模式修复系统；
检测当前进程中是否存在AVP.exe，若存在则修改当前系统时间，使卡巴斯基杀毒软件不能正常运行，并每隔200ms通过模拟点击躲过主动防御软件的安全提示；
通过映像劫持手段重定向部分杀毒软件和调试工具到病毒文件；
通过API函数InternetCheckConnectionA检测网络连通情况，若连通则访问恶意网站下载其它病毒程序并运行；
遍历盘符在移动存储介质中释放隐藏病毒文件comine.exe和autorun.inf，通过Windows自动播放功能来传播病毒。通过批处理将病毒原文件删除。

感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页木马、文件捆绑、移动存储介质

技术细节

病毒修改的注册表项：
项：HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\
键值：Start Page
指向变量:http://***.520sb.cn/


项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\
键值：checkedvalue
指向变量：0

项：HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
键值：DisableTaskMgr
指向变量：1


项：HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
键值：DisableWindowsUpdateAccess
指向变量：1

病毒删除的注册表项：
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\         
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\