扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:mirk 来源:赛迪网 2008年4月25日
关键字: msccrt.exe msccrt
在本页阅读全文(共2页)
病毒名称: Worm.Win32.AutoRun.apm
病毒类型: 蠕虫类
文件 MD5: 2E6CFDA17762A2AAC27B032C7CF40749
公开范围: 完全公开
危害等级: 4
文件长度: 18,992 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: nSPack 2.1 - 2.5
病毒描述:
该病毒为通过U盘等移动存储传播的木马下载器,病毒运行后复制自身到系统目录,衍生病毒文件,其中无论自身副本还是衍生文件,文件名均为随机8位字母和数字组合而成,这样对于病毒的清除带来了很大的困难。创建服务,并以服务的方式达到随机启动的目的。此病毒还会在各个驱动器盘符下创建自启动文件,增加病毒的存活时间。连接网络,下载大量的病毒文件,下载的病毒文件主要是盗号木马。
行为分析:
本地行为:
1、文件运行后会衍生随机8位字母和数字组合成的exe和dll文件,
本实例为B0A5B6E8.EXE和44A98A2C.DLL:
%System32%\44A98A2C.DLL 45,05678 字节
%System32%\B0A5B6E8.EXE 18,99278 字节
在各个驱动器盘符下创建自启动文件autorun.inf,
当打开盘符后便引导病毒体运行:
%DriveLetter%\auto.exe 18,99278 字节
%DriveLetter%\autorun.inf 78 字节
2、修改注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\Advanced
\Folder\Hidden\SHOWALL\CheckedValue]
类型: DWORD
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
描述:使隐藏文件和文件夹不可见
3、删除Windows错误报告服务ERSvc,以降低系统安全性。
4、创建服务并以服务的方式达到随机启动的目的,本服务名称与描述可变,
本次实例为667E56A与44A98A2C:
服务名称:667E56A
显示名称:667E56A
描述语言:44A98A2C
文件路径:C:\WINDOWS\system32\B0A5B6E8.EXE -k
启动方式:自动
5、44A98A2C.DLL插入到Winlogon.exe等系统进程与应用程序进程中,
以进行下载文件和监视的作用。
6、关闭avp.exe进程,检测窗口标题金山毒霸的警告窗体,如果检测到则关闭,
达到对杀毒软件反查杀的能力。
网络行为:
1、连接网络下载病毒文件:
连接网络下载update.txt文件,并以update.txt内的病毒
下载列表下载病毒文件,update.exe内容如下:
[update]
ver=2008010508
url=http://nx.51***.cn/soft/soft/e47e57844ef30ab4.exe
updatetimer=180
[startpage]
startpage=0
url=sssssssssssssssssss
[desktop]
desktop=0
count=1
title1=免费网络电话
url1=http://sk***.tom.com/download/archive
/01400974/SkypeClient.exe
[file]
file=1
file1=http://222.73.247.***/mh0618.exe
filename1=ffsea1.exe
ftime1=0
file2=http://222.73.247.***/my0616.exe
filename2=ffsea2.exe
ftime2=0
file3=http://222.73.247.***/qj0617.exe
filename3=ffsea3.exe
ftime3=0
file4=http://123.www****.cn/tl0619.exe
filename4=ffsea4.exe
ftime4=0
file5=http://220.189.255.**/wow0617.exe
filename5=ffsea5.exe
ftime5=0
file6=http://222.73.254.**/dh3.exe
filename6=ffsea6.exe
ftime6=0
file7=http://220.189.255.**/qqsg.exe
filename7=ffsea7.exe
ftime7=0
file8=http://222.73.247.***/jh0619.exe
filename8=ffsea8.exe
ftime8=0
file9=http://222.73.254.**/zt0616.exe
filename9=ffsea9.exe
ftime9=0
file10=http://222.73.247.***/wl0618.exe
filename10=ffsea10.exe
ftime10=0
file11=http://220.189.255.**/cq0619.exe
filename11=ffsea11.exe
ftime11=0
file12=http://222.73.247.***/wd0618.exe
filename12=ffsea12.exe
ftime12=0
file13=http://222.73.254.**/huaxia.exe
filename13=ffsea13.exe
ftime13=0
file14=http://222.73.254.**/qqhx.exe
filename14=ffsea14.exe
ftime14=0
file15=http://220.189.255.**/dh0616.exe
filename15=ffsea15.exe
ftime15=0
file16=http://61.129.45.***/fh.exe
filename16=ffsea16.exe
ftime16=0
file17=http://61.129.45.***/zy.exe
filename17=ffsea17.exe
ftime17=0
file18=http://123.www****.cn/mh2.exe
filename18=ffsea18.exe
ftime18=0
file19=http://123.www****.cn/jt.exe
filename19=ffsea19.exe
ftime19=0
file20=http://220.189.255.**/cs0619.exe
filename20=ffsea20.exe
ftime20=0
count=20
[count]
count=0
mecount=0
url=http://nx.51***.cn/soft/count/count.asp
下载病毒文件植入完毕以后生成如下文件:
%Windir%\124327MM.DLL
%Windir%\124327WL.DLL
%Windir%\AVPSrv.exE
%Windir%\cmdbcs.exe
%Windir%\DbgHlp32.exe
%Windir%\Kvsc3.exE
%Windir%\LotusHlp.exe
%Windir%mppds.exe
%Windir%\msccrt.exe
%Windir%\MsIMMs32.exE
%Windir%\MsPrint32D.exe
%Windir%\NAVMon32.exE
%Windir%\NVDispDRV.EXE
%Windir%\PTSShell.exe
%Windir%\RegSrv64D.exE
%Windir%\SHAProc.exe
%Windir%\upxdnd.exe
%Windir%\WinForm.exE
%Windir%\WSockDrv32.exe
%System32%\AVPSrv.dll
%System32%\cmdbcs.dll
%System32%\DbgHlp32.dll
%System32%\k120027795711.exe
%System32%\k120027796820.exe
%System32%\Kvsc3.dll
%System32%\LotusHlp.dll
%System32%\LYLOADER.EXE
%System32%\LYMANGR.DLL
%System32%\mppds.dll
%System32%\msccrt.dll
%System32%\MSDEG32.DLL
%System32%\MsIMMs32.dll
%System32%\MsPrint32D.dll
%System32%\NAVMon32.dll
%System32%\NVDispDrv.dll
%System32%\PTSShell.dll
%System32%\REGKEY.hiv
%System32%\RegSrv64D.dll
%System32%\SHAProc.dll
%System32%\upxdnd.dll
%System32%\WinForm.dll
%System32%\WSockDrv32.dll
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者
京公网安备 11010802021500号