英文名称:Worm/AutoRun.hby
中文名称:“U盘寄生虫”变种hby
病毒类型:蠕虫
影响平台:Win 9X/ME/NT/2000/XP/2003
Worm/AutoRun.hby“U盘寄生虫”变种hby是“U盘寄生虫”蠕虫家族中的最新成员之一,采用 “Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。
Worm/AutoRun.hby运行后,会在被感染计算机系统中创建具有“ 系统、隐藏”属性的目录“C:\WINDOWS\ini”,并通过设置“desktop.ini”文件的方式将该文件夹伪装成“回收站”样式,增强了伪装 性。
自我复制到该目录下,重新命名为“ini.exe”。同时还会在该目录下释放恶意脚本“shit.vbs”和DLL组件 “wsock32.dll”(用以对蠕虫的网络功能提供支持)。
在被感染计算机的后台遍历当前系统中所有正在运行的进程,一旦发现指定的安全软件存在,便 会尝试将其结束。在后台秘密监视所有正在运行程序的窗口标题,一旦发现标题中存在与安全相关的字符串(如“监控”、“举报”、“离线升级包”等等)便会尝 试将其关闭,从而达到了自我保护的目的。
监视“IceSword”窗口,一旦发现便通过键盘模拟操作的方式将其退出运行,从而增加了用户通过常用系统工具 对病毒进行手工处理的难度。
修改“hosts”文件,利用域名劫持技术致使用户无法访问指定的安全类网站以及干扰了安全软件的正常升级。“U盘寄生虫”变 种hby会监视被感染系统中新插入的移动存储设备,如发现有新的移动存储设备接入时,便会在其根目录下创建“autorun.inf”(自动播放配置文 件)和蠕虫主程序文件“\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\ini.exe”,以此实现 双击盘符后激活蠕虫,从而达到了利用U盘、移动硬盘、SD卡等移动存储设备进行自我传播的目的,给被感染计算机用户造成了更加严重的威胁。
“U盘寄生虫” 变种hby还会通过其自带的弱口令列表对被感染计算机的网上邻居进行探测,并利用默认共享连接进行自我传播。同时通过远程建立计划任务的方式使得这些计算 机上的蠕虫得以自动运行。“U盘寄生虫”变种hby还会对被感染计算机上的“rar”、“zip”、“tgz”、“cab”、“tar”扩展名的文件进行 感染,将命名为“安装.bat”的蠕虫副本添加到这些文件中并对其重新压缩打包。
“U盘寄生虫”变种hby还可以在扩展名为“html”、“htm”、 “asp”、“aspx”、“php”、“jsp”的文件中插入恶意代码,从而使得该蠕虫可以通过网页进行传播。此外,“U盘寄生虫”变种hby还会删除 扩展名为“.GHO”的磁盘镜像备份文件,并且会在被感染系统的后台连接骇客指定的远程站点,下载恶意程序并自动调用运行,从而给用户造成不同程度的损 失。
“U盘寄生虫”变种hby会在系统注册表启动项中添加键值以及在“开始”菜单启动项中添加项目等多种方式来实现蠕虫的开机自动运行。