扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
蠕虫木马Worm.Win32.Downloader.nm运行获取系统进程,查找进程中是否存在AVP.exe(卡巴斯基杀毒软件),如找到该进程则把当前系统时间修改为2001年,目的使卡巴主动防御失效,创建注册表病毒服务项、映像劫持多款安全软件,目的使系统安全性降低,遍历System32目录查找\s*st.exe的文件,找到svchost.exe文件后,创建一个进程并调用ReadProcessMemory函数读写该进程内存,调用ZwUnmapViewOfSection获取当前进程映射的基址,然后调用WriteProcessMemory函数对内存地址写入病毒数据,连接网络读取列表下载大量恶意文件并运行,给用户清除病毒带来极大的不便。
Worm.Win32.Downloader.nm本地行为:
1、病毒运行获取系统进程,查找进程中是否存在AVP.exe(卡巴斯基杀毒软件),
如找到该进程则把当前系统时间修改为2001年,目的使卡巴主动防御失效。
2、创建注册表病毒服务项:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MHFP\0000\Service]
注册表值: "mhfp"
类型: REG_SZ
值:"Mhfp"
描述: 服务描述
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mhfp\Description]
注册表值: "DisplayName"
类型: REG_SZ
值:"Mhfp"
描述: 服务描述
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mhfp\DisplayName]
注册表值: "DisplayName"
类型: REG_SZ
值:" Mhfp"
描述: 服务名称
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mhfp\ErrorControl]
注册表值: "ErrorControl"
类型: REG_SZ
值:"DWORD: 1 (0x1)"
描述: 服务控制
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mhfp\ImagePath]
注册表值: "ImagePath"
类型: REG_SZ
值:" \??\C:\DOCUME~1\a\LOCALS~1\Temp\~wxp2ins.234.tmp"
描述: 服务映像文件的启动路径
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mhfp\Start]
注册表值: "Start"
类型: REG_SZ
值:"DWORD: 3 (0x3)"
描述: 服务的启动方式,手动
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mhfp\Type]
注册表值: "Type"
类型: REG_SZ
值:"DWORD: 3 (0x3)"
描述: 服务类型
3、映像劫持多款安全软件:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\被映像劫持的文件名称]
新建键值: "Debugger"
类型: REG_SZ
字符串: “C:\WINDOWS\system32\svchost.exe”
劫持文件名列表:
360rpt.exe、360safebox.exe、360tray.exe、adam.exe、
AgentSvr.exe、AppSvc32.exe、ati2evxx.exe、autoruns.exe、
avconsol.exe、avgrssvc.exe、AvMonitor.exe、avp.com、avp.exe、
CCenter.exe、ccSvcHst.exe、egui.exe、esafe.exe、FileDsty.exe、
FTCleanerShell.exe、HijackThis.exe、IceSword.exe、idag.exe、
Iparmor.exe、isPwdSvc.exe、kabaload.exe、kaccore.exe、
KaScrScn.SCR、KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、
KAVPF.exe、KAVPFW.exe、KAVSetup.exe、KAVStart.exe、kavsvc.exe、
KAVsvcUI.exe、KISLnchr.exe、kissvc.exe、KMailMon.exe、
KMFilter.exe、KPFW32.exe、kpfwsvc.exe、KPPMain.exe、KRegEx.exe、
KRepair.com、KsLoader.exe、KVCenter.kxp、KvDetect.exe、
KVFW.EXE、KvfwMcl.exe、KVMonXP_1.kxp、kvol.exe、kvolself.exe、
KvReport.kxp、KVScan.kxp、KVsrvXP.exe、KVStub.kxp、kvupload.exe、
KVwsc.exe、kwatch.exe、KWatch9x.exe、KWatchX.exe、MagicSet.exe、
mcconsol.exe、mmqczj.exe、mmsk.exe、navapsvc.exe、Navapw32.exe、
nod32krn.exe、NPFMntor.exe、OllyDBG.EXE、OllyICE.EXE、PFW.exe、
PFWLiveUpdate.exe、procexp.exe、QHSET.exe、qqdoctor.exe、qqkav.exe、
qqsc.exe、Ras.exe、rav.exe、rav.exe、RAVmon.exe、RAVmonD.exe、
ravstub.exe、ravtask.exe、ravtimer.exe、ravtool.exe、RegClean.exe、
regtool.exe、rfwmain.exe、FYFireWall.exe、rfwproxy.exe、
FYFireWall.exe、rfwsrv.exe、rfwstub.exe、rising.exe、Rsaupd.exe、
runiep.exe、safebank.exe、safeboxtray.exe、safelive.exe、
scan32.exe、shcfg32.exe、SmartUp.exe、SREng.EXE、symlcsvc.exe、
SysSafe.exe、TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、
UIHost.exe、UIHost.exe、UmxAgent.exe、UmxAttachment.exe、
UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、UpLive.exe、vsstat.exe、
webscanx.exe、WinDbg.exe、WoptiClean.exe
4、遍历System32目录查找\s*st.exe的文件,找到svchost.exe文件后,创建一个进程并调用ReadProcessMemory函数读写该进程内存,调用ZwUnmapViewOfSection获取当前进程映射的基址,然后调用WriteProcessMemory函数对内存地址写入病毒数据,连接网络读取列表下载大量恶意文件并运行。
Worm.Win32.Downloader.nm网络行为:
1、协议:TCP
端口:80
连接服务器名:http://www.ip***.cn/uc.txt
IP地址:121.10.107.**
描述:连接服务器读取TXT列表内容下载病毒,读取的列表内容:
http://www.ibmle****.net.cn/down/e1.exe
http://www.ibmle****.net.cn/down/r2.exe
http://www.ibmle****.net.cn/down/a3.exe
http://www.ibmle****.net.cn/down/j4.exe
http://www.ibmle****.net.cn/down/y5.exe
http://www.ibmle****.net.cn/down/m6.exe
http://www.ibmle****.net.cn/down/r7.exe
http://www.ibmle****.net.cn/down/i8.exe
http://www.ibmle****.net.cn/down/x9.exe
http://www.ibmle****.net.cn/down/l10.exe
http://www.li****.cn/down/b11.exe
http://www.li****.cn/down/z12.exe
http://www.li****.cn/down/m13.exe
http://www.li****.cn/down/n14.exe
http://www.li****.cn/down/o15.exe
http://www.li****.cn/down/g16.exe
http://www.li****.cn/down/j17.exe
http://www.li****.cn/down/l18.exe
http://www.li****.cn/down/c19.exe
http://www.li****.cn/down/t20.exe
http://www.mo****.cn/down/p21.exe
http://www.mo****.cn/down/x22.exe
http://www.mo****.cn/down/m23.exe
http://www.mo****.cn/down/o24.exe
http://www.mo****.cn/down/b25.exe
http://www.mo****.cn/down/e26.exe
http://www.mo****.cn/down/v27.exe
http://www.mo****.cn/down/m28.exe
http://www.mo****.cn/down/u29.exe
http://www.mo****.cn/down/h30.exe
http://www.mo****.cn/down/b31.exe
http://www.mo****.cn/down/c32.exe
http://www.mo****.cn/down/u33.exe
http://www.mo****.cn/down/z34.exe
Worm.Win32.Downloader.nm清除方案:
1 、使用安天防线2008可彻底清除此病毒(推荐),
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用ATOOL“进程管理”关闭病毒相关进程。
(2)删除病毒服务注册表项:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MHFP\0000\Service]
键值:" Mhfp"
删除Mhfp键值
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
键值:"Mhfp"
删除Mhfp键值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
键值:"Image File Execution Options"
删除注册表Image File Execution Options键值
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
京公网安备 11010802021500号