科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道下载者Worm.Win32.Downloader.dq分析

下载者Worm.Win32.Downloader.dq分析

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

该病毒为下载者。运行以后通过连接网络下载病毒文件并执行。行为分析:该病毒运行以后,释放一个BAT文件,命令为:net stop sharedaccess,以此来关闭防火墙服务。

作者:zdnet安全频道 来源:论坛整理 2008年6月23日

关键字: 病毒 下载者

  • 评论
  • 分享微博
  • 分享邮件

下载者Worm.Win32.Downloader.dq分析

该病毒为下载者。运行以后通过连接网络下载病毒文件并执行。

行为分析:

 

该病毒运行以后,释放一个BAT文件,命令为:

 

net stop sharedaccess

以此来关闭防火墙服务。

然后打开conime.exe,将代码注入进conime.exe进程内,连接网络读取http://d2.llsging.com/elf_listo.txt下载并执行病毒。

因为防火墙不允许conime.exe反弹连接网络,所以才使用以上的命令来关闭防火墙。

读取的TXT文件保存在c:\WINDOWS\system32\tutility.txt然后连接TXT内的URL进行下载执行:

内容如下:

20080221 http://15.buyaoni.com/new/1.exe
20080221 http://15.buyaoni.com/new/2.exe
20080221 http://15.buyaoni.com/new/3.exe
20080221 http://60.190.118.203/new/4.exe
20080221 http://60.190.118.203/new/5.exe
20080221 http://60.190.118.203/new/6.exe
20080221 http://67.198.194.26/new/7.exe
20080221 http://67.198.194.26/new/8.exe
20080221 http://67.198.194.26/new/10.exe
20080221 http://67.198.194.26/new/11.exe
20080221 http://67.198.192.26/new/14.exe
20080221 http://67.198.192.26/new/15.exe
20080221 http://60.190.118.31/new/16.exe
20080221 http://60.190.118.31/new/17.exe
20080221 http://60.190.118.31/new/18.exe
20080221 http://71.buyaoni.com/new/19.exe
20080221 http://71.buyaoni.com/new/20.exe
20080221 http://71.buyaoni.com/new/21.exe
20080221 http://71.buyaoni.com/new/24.exe
20080221 http://11.buyaoni.com/new/25.exe
20080221 http://11.buyaoni.com/new/26.exe
20080221 http://11.buyaoni.com/new/27.exe
20080221 http://11.buyaoni.com/new/30.exe

大部分病毒已被查杀。

解决办法:

 

屏蔽域名:

http://d2.llsging.com

开启卡巴斯基进行查杀。

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32windows95/98/me中默认的安装路径是C:\Windows\SystemwindowsXP中默认的安装路径是C:\Windows\System32
%Temp%   = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
     %Windir%\       WINDODWS所在目录
%DriveLetter%\    逻辑驱动器根目录
%ProgramFiles%\    系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录

    • 评论
    • 分享微博
    • 分享邮件
    VIP专区
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章

    业界热点:

    北京第二十六维信息技术有限公司(至顶网)版权所有. 京ICP备15039648号-7 京ICP证161336号 京公网安备 11010802021500号