扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
下载者Worm.Win32.Downloader.dq分析
该病毒为下载者。运行以后通过连接网络下载病毒文件并执行。
行为分析:
该病毒运行以后,释放一个BAT文件,命令为:
net stop sharedaccess
以此来关闭防火墙服务。
然后打开conime.exe,将代码注入进conime.exe进程内,连接网络读取http://d2.llsging.com/elf_listo.txt下载并执行病毒。
因为防火墙不允许conime.exe反弹连接网络,所以才使用以上的命令来关闭防火墙。
读取的TXT文件保存在c:\WINDOWS\system32\tutility.txt然后连接TXT内的URL进行下载执行:
内容如下:
20080221 http://15.buyaoni.com/new/1.exe
20080221 http://15.buyaoni.com/new/2.exe
20080221 http://15.buyaoni.com/new/3.exe
20080221 http://60.190.118.203/new/4.exe
20080221 http://60.190.118.203/new/5.exe
20080221 http://60.190.118.203/new/6.exe
20080221 http://67.198.194.26/new/7.exe
20080221 http://67.198.194.26/new/8.exe
20080221 http://67.198.194.26/new/10.exe
20080221 http://67.198.194.26/new/11.exe
20080221 http://67.198.192.26/new/14.exe
20080221 http://67.198.192.26/new/15.exe
20080221 http://60.190.118.31/new/16.exe
20080221 http://60.190.118.31/new/17.exe
20080221 http://60.190.118.31/new/18.exe
20080221 http://71.buyaoni.com/new/19.exe
20080221 http://71.buyaoni.com/new/20.exe
20080221 http://71.buyaoni.com/new/21.exe
20080221 http://71.buyaoni.com/new/24.exe
20080221 http://11.buyaoni.com/new/25.exe
20080221 http://11.buyaoni.com/new/26.exe
20080221 http://11.buyaoni.com/new/27.exe
20080221 http://11.buyaoni.com/new/30.exe
大部分病毒已被查杀。
解决办法:
屏蔽域名:
http://d2.llsging.com
开启卡巴斯基进行查杀。
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\ WINDODWS所在目录
%DriveLetter%\ 逻辑驱动器根目录
%ProgramFiles%\ 系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。