病毒名：Worm.Pabug.ck

　　大小：38,132 字節

　　MD5：2391109c40ccb0f982b86af86cfbc900

　　加殼方式：FSG2.0

　　編寫語言：Delphi

　　傳播方式：通過移動介質或網頁惡意腳本傳播

　　經虛擬機中運行，與脫殼后OD分析結合，其行為如下：

　　文件創建：

　　%systemroot%\system32\gfosdg.exe

　　%systemroot%\system32\gfosdg.dll

　　%systemroot%\system32\severe.exe

　　%systemroot%\system32\drivers\mpnxyl.exe

　　%systemroot%\system32\drivers\conime.exe

　　%systemroot%\system32\hx1.bat

　　%systemroot%\system32\noruns.reg

　　X:\OSO.exe

　　X:\autorun.inf

　　X指非系統盤符

　　%systemroot%是環境變量，對于裝在C盤的Windows XP系統，默認路徑為C:\WINDOWS文件夾，以下以此假設進行分析。

　　創建進程：

　　%systemroot%\system32\gfosdg.exe

　　%systemroot%\system32\severe.exe

　　%systemroot%\system32\drivers\conime.exe

　　使用net stop命令，結束可能存在的殺毒軟件服務

　　調用sc.exe，

　　config [對應服務] start=disabled

　　禁用這些服務

　　被結束和禁用的服務包括：

　　srservice

　　sharedaccess（此即系統自帶防火墻——筆者注）

　　KVWSC

　　KVSrvXP

　　kavsvc

　　RsRavMon

　　RsCCenter

　　其中，在結束瑞星服務的過程中，由于瑞星會彈出提示，病毒作了相應處理：

　　用FindWindowA函數，捕捉標題為"瑞星提示"的窗口

　　用FindWindowExA函數，找到其中“是(&Y)”的按鈕

　　用SendMessageA函數向系統發送信息，相當于按下此按鈕

　　禁止或結束以下進程運行，包括但不限于：

　　PFW.exe

　　Kav.exe

　　KVOL.exe

　　KVFW.exe

　　adam.exe

　　qqav.exe

　　qqkav.exe

　　TBMon.exe

　　kav32.exe

　　kvwsc.exe

　　CCAPP.exe

　　EGHOST.exe

　　KRegEx.exe

　　kavsvc.exe

　　VPTray.exe

　　RAVMON.exe

　　KavPFW.exe

　　SHSTAT.exe

　　RavTask.exe

　　TrojDie.kxp

　　Iparmor.exe

　　MAILMON.exe

　　MCAGENT.exe

　　KAVPLUS.exe

　　RavMonD.exe

　　Rtvscan.exe

　　Nvsvc32.exe

　　KVMonXP.exe

　　Kvsrvxp.exe

　　CCenter.exe

　　KpopMon.exe

　　RfwMain.exe

　　KWATCHUI.exe

　　MCVSESCN.exe

　　MSKAGENT.exe

　　kvolself.exe

　　KVCenter.kxp

　　kavstart.exe

　　RAVTIMER.exe

　　RRfwMain.exe

　　FireTray.exe

　　UpdaterUI.exe

　　KVSrvXp_1.exe

　　RavService.exe

　　創建noruns.reg，并導入注冊表，之后刪除此文件。導入內容：

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

　　"NoDriveTypeAutoRun"=dword:b5

　　改變驅動器的autorun方式（在我的虛擬機里沒有實現）

　　修改注冊表，創建啟動項（后來在SREng日志中可見的項目）：

　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

　　 [N/A]

　　 [N/A]

　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

　　 [N/A]

　　為預防瑞星注冊表監控提示，故伎重施：

　　用FindWindowA函數捕捉標題為“瑞星注冊表監控提示”的窗口

　　用mouse_event控制鼠標自動選擇允許修改。

　　訪問注冊表

　　[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall]

　　CheckedValue鍵

　　破壞顯示隱藏文件的功能（這一點在我的虛擬機中沒有實現，可能是被TINY或SSM默認阻止了）

　　然而，做了這么多工作除去殺毒軟件之后，作者似乎覺得還不保險，他終于使出了“殺手锏”：

　　在注冊表

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]

　　創建以安全軟件程序名為名的子項

　　子項中創建子鍵

　　"Debugger"="C:\\WINDOWS\\system32\\drivers\\mpnxyl.exe"

　　使得這些程序在被雙擊運行時，均會轉為運行病毒文件mpnxyl.exe

　　形如：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe]

　　"Debugger"="C:\\WINDOWS\\system32\\drivers\\mpnxyl.exe"

　　autoruns的日志中可以清楚地看到這些項目，以及遭到這種手法“蹂躪”的程序：

　　+ 360Safe.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ adam.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ avp.com c:\windows\system32\drivers\mpnxyl.exe

　　+ avp.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ IceSword.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ iparmo.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ kabaload.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ KRegEx.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ KvDetect.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ KVMonXP.kxp c:\windows\system32\drivers\mpnxyl.exe

　　+ KvXP.kxp c:\windows\system32\drivers\mpnxyl.exe

　　+ MagicSet.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ mmsk.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ msconfig.com c:\windows\system32\drivers\mpnxyl.exe

　　+ msconfig.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ PFW.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ PFWLiveUpdate.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ QQDoctor.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ Ras.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ Rav.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ RavMon.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ regedit.com c:\windows\system32\drivers\mpnxyl.exe

　　+ regedit.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ runiep.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ SREng.EXE c:\windows\system32\drivers\mpnxyl.exe

　　+ TrojDie.kxp c:\windows\system32\drivers\mpnxyl.exe

　　+ WoptiClean.exe c:\windows\system32\drivers\mpnxyl.exe

　　刪除卡卡助手的dll文件kakatool.dll（的確這么做了，虛擬機運行的結果和程序代碼里的內容相映證）

　　為了堵死中毒者的“后路”，又采取了另一種卑劣的手法

　　修改hosts文件，屏蔽殺毒軟件廠商的網站，卡卡社區“有幸”成為被屏蔽的其中一員：

　　這是后來用SREng看到的結果，在程序代碼里也有相應內容：

　　127.0.0.1 mmsk.cn

　　127.0.0.1 ikaka.com

　　127.0.0.1 safe.qq.com

　　127.0.0.1 360safe.com

　　127.0.0.1 www.mmsk.cn

　　127.0.0.1 www.ikaka.com

　　127.0.0.1 tool.ikaka.com

　　127.0.0.1 www.360safe.com

　　127.0.0.1 zs.kingsoft.com

　　127.0.0.1 forum.ikaka.com

　　127.0.0.1 up.rising.com.cn

　　127.0.0.1 scan.kingsoft.com

　　127.0.0.1 kvup.jiangmin.com

　　127.0.0.1 reg.rising.com.cn

　　127.0.0.1 update.rising.com.cn

　　127.0.0.1 update7.jiangmin.com

　　127.0.0.1 download.rising.com.cn

　　127.0.0.1 dnl-us1.kaspersky-labs.com

　　127.0.0.1 dnl-us2.kaspersky-labs.com

　　127.0.0.1 dnl-us3.kaspersky-labs.com

　　127.0.0.1 dnl-us4.kaspersky-labs.com

　　127.0.0.1 dnl-us5.kaspersky-labs.com

　　127.0.0.1 dnl-us6.kaspersky-labs.com

　　127.0.0.1 dnl-us7.kaspersky-labs.com

　　127.0.0.1 dnl-us8.kaspersky-labs.com

　　127.0.0.1 dnl-us9.kaspersky-labs.com

　　127.0.0.1 dnl-us10.kaspersky-labs.com

　　127.0.0.1 dnl-eu1.kaspersky-labs.com

　　127.0.0.1 dnl-eu2.kaspersky-labs.com

　　127.0.0.1 dnl-eu3.kaspersky-labs.com

　　127.0.0.1 dnl-eu4.kaspersky-labs.com

　　127.0.0.1 dnl-eu5.kaspersky-labs.com

　　127.0.0.1 dnl-eu6.kaspersky-labs.com

　　127.0.0.1 dnl-eu7.kaspersky-labs.com

　　127.0.0.1 dnl-eu8.kaspersky-labs.com

　　127.0.0.1 dnl-eu9.kaspersky-labs.com

　　127.0.0.1 dnl-eu10.kaspersky-labs.com

　　另外：

　　hx1.bat內容：

　　@echo off

　　set date=2004-1-22

　　ping ** localhost > nul

　　date %date%

　　del %0

　　改日期？不過在虛擬機里沒有實現

　　autorun.inf的內容：

　　[AutoRun]

　　open=OSO.exe

　　shellexecute=OSO.exe

　　shell\Auto\command=OSO.exe

　　如果你要從右鍵菜單來判別，很不幸，右鍵菜單完全看不出異常，無論你是雙擊還是右鍵，同樣會激活病毒！

　　TINY還記錄到，病毒關閉系統還原服務后再打開。這恐怕會導致丟失還原點的結果。

　　至此這個十分惡劣的病毒的行為分析告一段落，下面介紹清除方法（如果上面內容看得頭暈的話，請直接看清除方法即可）

　　清除方法歸結為一句話：“夾縫中求生”

　　IceSword.exe、SREng.exe均被禁，但只需將文件改名，照樣可以運行

　　autoruns.exe則不在被禁的行列

　　其他的被禁程序，一步步解禁

　　具體過程：

　　結束進程：

　　%systemroot%\system32\gfosdg.exe

　　%systemroot%\system32\severe.exe

　　%systemroot%\system32\drivers\conime.exe

　　沒有發現此病毒禁用任務管理器。也可以用其他工具如procexp等

　　用autoruns刪除以下項目（建議用autoruns，一是沒被禁，二是一目了然，注意先選Options-Hide Microsoft Entries）：

　　+ 360Safe.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ adam.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ avp.com c:\windows\system32\drivers\mpnxyl.exe

　　+ avp.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ IceSword.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ iparmo.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ kabaload.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ KRegEx.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ KvDetect.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ KVMonXP.kxp c:\windows\system32\drivers\mpnxyl.exe

　　+ KvXP.kxp c:\windows\system32\drivers\mpnxyl.exe

　　+ MagicSet.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ mmsk.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ msconfig.com c:\windows\system32\drivers\mpnxyl.exe

　　+ msconfig.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ PFW.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ PFWLiveUpdate.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ QQDoctor.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ Ras.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ Rav.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ RavMon.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ regedit.com c:\windows\system32\drivers\mpnxyl.exe

　　+ regedit.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ runiep.exe c:\windows\system32\drivers\mpnxyl.exe

　　+ SREng.EXE c:\windows\system32\drivers\mpnxyl.exe

　　+ TrojDie.kxp c:\windows\system32\drivers\mpnxyl.exe

　　+ WoptiClean.exe c:\windows\system32\drivers\mpnxyl.exe

　　這樣包括IceSword、SREng、注冊表編輯器和系統配置實用程序在內的部分程序不再被禁止

　　刪除或修改啟動項：

　　以用SREng為例

　　在“啟動項目”-“注冊表”中刪除：

　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

　　 [N/A]

　　 [N/A]

　　雙擊以下項目，把“值”中Explorer.exe后面的內容刪除

　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

　　 [N/A]

　　刪除文件：

　　由于非系統盤即便右鍵打開也會有危險，應該采用其他方法，推薦用IceSword或WINRAR來做

　　刪除：

　　%systemroot%\system32\gfosdg.exe

　　%systemroot%\system32\gfosdg.dll

　　%systemroot%\system32\severe.exe

　　%systemroot%\system32\drivers\mpnxyl.exe

　　%systemroot%\system32\drivers\conime.exe

　　%systemroot%\system32\hx1.bat

　　%systemroot%\system32\noruns.reg

　　X:\OSO.exe

　　X:\autorun.inf

　　系統修復與清理：

　　在注冊表展開

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

　　建議將原CheckedValue鍵刪除，再新建正常的鍵值：

　　"CheckedValue"=dword:00000001

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

　　NoDriveTypeAutoRun鍵的值，是否要改，要改為什么，視乎各人所需，一般默認為91（十六進制的）

　　此鍵的含義，請搜索網上資料，在此不再贅述

　　HOSTS文件的清理

　　可以用記事本打開%systemroot%\system32\drivers\etc\hosts，清除被病毒加入的內容

　　也可以用SREng在“系統修復”-“HOSTS文件”中點“重置”，然后點“保存”

　　最后修復一下服務被破壞的殺毒軟件。

　　小結：

　　從拿到樣本到方法寫完，歷時整整五小時。之所以要說得如此詳細，是因為這個病毒相當的典型，尤其是它對付安全軟件的幾種方法。右鍵菜單沒變化，也是比較“隱蔽”而且給清除帶來麻煩的一個特征。對付這個病毒，也要在“知己知彼”的基礎上，靈活運用方法和工具。