durjgxr.exe  Worm.Win32.AvKiller.bn病毒分析
原贴地址：http://blog.sina.com.cn/s/blog_56b232db01008h28.html
作者：UFO不幸外人
欢迎光临我的blog：http://blog.sina.com.cn/ufovirus

截获信息：
1、  截获时间：2007年11月18日
2、  截获地点：
3、  样本文件描述：U盘附带根目录下EXE病毒文件

基本资料：
1、  样本文件名：durjgxr.exe
2、  样本大小：75101B
3、  样本MD5：faace5e9e5aab656bd4fd272df1998c4
4、  样本加壳方式：Borland Delphi 6.0 - 7.0
5、  编写语言：
6、  病毒名称：
卡巴斯基（Kaspersky）：
瑞星（rising/20.25.40）：Worm.Win32.AvKiller.bn
7、  病毒中文名称：

详细资料：
1、  结束进程名称：
Filemon.exe、Regmon.exe等
2、  文件变化
（1）      添加病毒文件
C:\Program Files\Common Files\Microsoft Shared\umrsoux.exe（75101）
C:\Program Files\Common Files\Microsoft Shared\dlkphjj.inf（169）
C:\Program Files\Common Files\System\ssecbjf.exe（75101）
C:\Program Files\Common Files\System\dlkphjj.inf（169）
C:\Program Files\meex.exe（75101）
X:\autorun.inf（169）
X:\durjgxr.exe（75101）
（2）      修改下列文件或目录属性
C:\Program Files\Common Files\Microsoft Shared
C:\Program Files\Common Files\System
（3）      下载并感染的木马文件
（4）      Autorun.inf文件内容
[AutoRun]
open=durjgxr.exe
shell\open=打开(&O)
shell\open\Command=durjgxr.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=durjgxr.exe
3、  注册表变化
（1）      添加注册表启动项目
项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
键：dlkphjj
键值：C:\Program Files\Common Files\System\ssecbjf.exe
键：durjgxr
键值：C:\Program Files\Common Files\Microsoft Shared\umrsoux.exe
（2）      禁止显示所有文件及文件夹
项：HKEY_USERS\S-1-5-21-1935655697-1563985344-725345543-500\Software\Microsoft\
Windows\CurrentVersion\Explorer\Advanced\
键名：ShowSuperHidden
原键值：0x00000001
新键值：0x00000000
项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
dvanced\Folder\SuperHidden\
键名：Type
原键值：checkbox
新键值：checkbox2
（3）      修改“Help and Support”服务（帮助与支持）服务为已禁用
项：HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\helpsvc\
项：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\helpsvc\
键名：Start
原键值：0x00000002
新键值：0x00000004
（4）      修改“Windows FireWall/ICS”服务（Windows防火墙）为已禁用
项：HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\
项：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
键名：Start
原键值：0x00000002
新键值：0x00000004
（5）      修改“Windows FireWall/ICS”服务中的未知内容
项：HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Epoch\
项：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch\
键名：Epoch
原键值：0x00000034
新键值：0x00000035
（6）      修改“Security Center”服务为已禁用
项：HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc\
项：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\
键名：Start
原键值：0x00000002
新键值：0x00000004
（7）      修改“Automatic Updates”服务（自动更新）为已禁用
项：HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv\
项：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\
键名：Start
原键值：0x00000002
新键值：0x00000004
（8）      破坏安全模式
删除注册表主键：
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
（9）      IFEO劫持
注册表项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\
添加：劫持的EXE文件名称。包括：360rpt.exe、360Safe.exe、360tray.exe、adam.exe、AgentSvr.exe、AppSvc32.exe、ArSwp.exe、AST.exe、autoruns.exe、AvastU3.exe、avconsol.exe、avgrssvc.exe、AvMonitor.exe、avp.com、avp.exe、CCenter.exe、ccSvcHst.exe、EGHOST.exe、FileDsty.exe、FTCleanerShell.exe、FYFireWall.exe、ghost.exe、HijackThis.exe、IceSword.exe、iparmo.exe、Iparmor.exe、irsetup.exe、isPwdSvc.exe、kabaload.exe、KaScrScn.SCR、KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、KAVPFW.exe、KAVSetup.exe、KAVStart.exe、KISLnchr.exe、KMailMon.exe、KMFilter.exe、KPFW32.exe、KPFW32X.exe、KPfwSvc.exe、KRegEx.exe、KRepair.com、KsLoader.exe、KVCenter.kxp、KvDetect.exe、KvfwMcl.exe、KVMonXP.kxp、KVMonXP_1.kxp、kvol.exe、kvolself.exe、KvReport.kxp、KVScan.kxp、KVSrvXP.exe、KVStub.kxp、kvupload.exe、kvwsc.exe、KvXP.kxp、KvXP_1.kxp、KWatch.exe、KWatch9x.exe、KWatchX.exe、loaddll.exe、MagicSet.exe、mcconsol.exe、mmqczj.exe、mmsk.exe、Navapsvc.exe、Navapw32.exe、nod32.exe、nod32krn.exe、nod32kui.exe、NPFMntor.exe、PFW.exe、PFWLiveUpdate.exe、QHSET.exe、QQDoctor.exe、QQKav.exe、QQSC.exe、Ras.exe、Rav.exe、RavMon.exe、RavMonD.exe、RavStub.exe、RavTask.exe、RegClean.exe、rfwcfg.exe、rfwmain.exe、rfwsrv.exe、RsAgent.exe、Rsaupd.exe、rstrui.exe、runiep.exe、safelive.exe、scan32.exe、shcfg32.exe、SmartUp.exe、SREng.EXE、symlcsvc.exe、SysSafe.exe、TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、UIHost.exe、UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、upiea.exe、UpLive.exe、USBCleaner.exe、vsstat.exe、webscanx.exe、WoptiClean.exe、zjb.exe
劫持到：C:\Program Files\Common Files\Microsoft Shared\umrsoux.exe
（10）  未知注册表修改
项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\
S-1-5-19\
键名：RefCount
原键值：0x00000002
新键值：0x00000001

4、  病毒特征
（1）      从A盘到Z盘都建立autorun.inf和病毒源文件
（2）      结束进程
关闭标题中出现以下字符的窗口：江民、瑞星、毒霸、恶意、流氓软、上报、QQ安全、举报、预警、进程、System、Shared、**、上報、舉報、诊断、杀毒、2007、Sysint、Virus、Trojan、meex、报警、auroun、AV终结者、一键、木马、木馬、殺毒、查毒、病毒、360安全、USB、WinRAR、Ghost、还原、Process、usb、清理助、.bat、.bak、.inf

[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; TencentTraveler ; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506; InfoPath.2)

感谢lz提供~

...

楼主辛苦了，学习中！！！

谢谢了