“Worm/Win32.Downloader.aas”的意思、由来-中文百科全书

病毒标签：

病毒名称： Worm/Win32.Downloader.aas

病毒类型：下载者

文件 MD5： 95C25C1D364CE0A173916595D8025C05

公开范围：完全公开

危害等级： 4

文件长度： 16,588 字节

感染系统： Windows98以上版本

加壳类型： WinUpack 0.39 final -> By Dwing

该病毒为下载者木马，病毒运行后，创建的驱动文件主要行为：恢复SSDT躲避部分安全软件的主要防御提示，获取user32.dll文件创建时间将该驱动文件设置为user32.dll文件创建时间，并打开BEEP服务、使用系统服务加载病毒驱动文件，通过遍历进程查找大量安全软件进程如存在则添加注册表映射劫持，遍历进程查找avp.exe、RStray.exe进程，找到发送关闭消息，创建病毒驱动设备名"\\\\.\\PciFtDisk"判断%Windir%目录下的explorer.exe是否有效，将kernel32.dll加载到该进程中，拷贝%System32%目录下的"urlmon.dll"到临时目录下，动态加载临时目录下的"urlmon.dll"文件，调用API函数连接网络读取信息下载大量恶意文件，监视部分安全软件窗体，如发送后则发送关闭消息，衍生svchost.exe、绿化.bat到%Temp%临时目录下，查找\\WinRAR\\Rar.exe安装路径，遍历查找所有分区的.rar，.zip，.tgz，.cab，.tar文件，找到后调用winrar命令"-ep a"执行 %Temp%\\绿化.bat文件，通过内网ipc$共享传播自身。

行为分析-本地行为：

1、创建名为"u1s2a3f4e5n6o7w"的互斥量，防止病毒多次运行产生冲突，遍历进程查找"winlogon.exe"进程，找到之后打开该进程ID，动态将"sfc_os.dll"加载该进程中，获取该动态链接库基址，删除%System32%\\dllcache、%System32%\\drivers目录下的Beep.sys文件。

2、文件运行后会释放以下文件

%System32%\\drivers\\Beep.sys （恢复SSDT躲避部分安全软件的主要防御提示）

%Temp%\\svchost.exe （通过内网ipc$共享传播自身）

%Temp%\\绿化.bat

3、添加注册表映射劫持

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\被劫持的文件名\\Debugger

值: 字符串: "ntsd -d"

360Safe.exe、360safebox.exe、360tray.exe、adam.exe、AgentSvr.exe、AntiArp.exe、AppSvc32.exe、arswp.exe、AST.exe、autoruns.exe、avcenter.exe、avconsol.exe、avgnt.exe、avgrssvc.exe、AvMonitor.exe、avp.com、avp.exe、CCenter.exe、ccSvcHst.exe、DrvAnti.exe、EGHOST.exe、FileDsty.exe、filemon.exe、FTCleanerShell.exe、FYFireWall.exe、GFRing3.exe、GFUpd.exe、HijackThis.exe、IceSword.exe、iparmo.exe、Iparmor.exe、isPwdSvc.exe、kabaload.exe、KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、KAVPFW.exe、KAVSetup.exe、KAVStart.exe、KISLnchr.exe、KMailMon.exe、KMFilter.exe、KPFW32.exe、KPFW32X.exe、KPfwSvc.exe、Kregex.exe、KRepair.com、KsLoader.exe、KvDetect.exe、KvfwMcl.exe、kvol.exe、kvolself.exe、KVSrvXP.exe、kvupload.exe、kvwsc.exe、KvXP.kxp、KWatch.exe、KWatch9x.exe、KWatchX.exe、MagicSet.exe、mcconsol.exe、McNASvc.exe、McProxy.exe、Mcshield.exe、mcsysmon.exe、mmqczj.exe、mmsk.exe、MpfSrv.exe、Navapsvc.exe、Navapw32.exe、NAVSetup.exe、nod32.exe、nod32krn.exe、nod32kui.exe、NPFMntor.exe、PFW.exe、PFWLiveUpdate.exe、ProcessSafe.exe、procexp.exe、QHSET.exe、QQDoctor.exe、QQDoctorMain.exe、QQKav.exe、Ras.exe、Rav.exe、RavMon.exe、RavMonD.exe、RavStub.exe、RavTask.exe、RawCopy.exe、RegClean.exe、regmon.exe、RegTool.exe、rfwcfg.exe、rfwmain.exe、rfwProxy.exe、rfwsrv.exe、rfwstub.exe、RsAgent.exe、Rsaupd.exe、RStray.exe、rstrui.exe、Rtvscan.exe、runiep.exe、safeboxTray.exe、safelive.exe、scan32.exe、SelfUpdate.exe、shcfg32.exe、SmartUp.exe、SREng.exe、SuperKiller.exe、symlcsvc.exe、SysSafe.exe、taskmgr.exe、TrojanDetector.exe、Trojanwall.exe、TrojDie.exe、UIHost.exe、UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、upiea.exe、UpLive.exe、USBCleaner.exe、vsstat.exe、webscanx.exe、WoptiClean.exe、zxsweep.exe

描述：被劫持的文件列表

4、获取user32.dll文件创建时间将该驱动文件设置为user32.dll文件创建时间，并打开BEEP服务、使用系统服务加载病毒驱动文件，遍历进程查找avp.exe、RStray.exe进程，找到发送关闭消息，创建病毒驱动设备名"\\\\.\\PciFtDisk"判断%Windir%目录下的explorer.exe是否有效，将kernel32.dll加载到该进程中，拷贝%System32%目录下的"urlmon.dll"到临时目录下，动态加载临时目录下的"urlmon.dll"文件。

5、监视部分安全软件窗体，如发送后则发送关闭消息，查找\\WinRAR\\Rar.exe安装路径，遍历查找所有分区的.rar，.zip，.tgz，.cab，.tar文件，找到后调用winrar命令"-ep a"执行 %Temp%\\绿化.bat文件，通过网络ipc$共享传播自身。

行为分析-网络行为：

协议：TCP

端口：80

连接地址：http://www.hfdy2929**.com/bak.txt

描述：连接该地址读取列表下载大量恶意病毒文件

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。

%Windir% WINDODWS所在目录

%DriveLetter%　逻辑驱动器根目录

%ProgramFiles%　系统程序默认安装目录

%HomeDrive% 当前启动的系统的所在分区

%Documents and Settings% 当前用户文档根目录

%Temp% \\Documents and Settings\\当前用户\\Local Settings\\Temp

%System32% 系统的 System32文件夹

Windows2000/NT中默认的安装路径是C:\\Winnt\\System32

windows95/98/me中默认的安装路径是%WINDOWS%\\System

windowsXP中默认的安装路径是%system32%

清除方案：

1、使用安天防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

（1）使用ATOOL管理工具，“进程管理”查找结束病毒进程"hun.exe"。

（2）强行删除病毒衍生及下载的大量病毒文件

%System32%\\drivers\\Beep.sys

%Temp%\\svchost.exe

%Temp%\\绿化.bat

（3）删除病毒添加的注册表启动项及劫持的安全软件项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\被劫持的文件名\\Debugger

删除Image File Execution Options键下被劫持的文件名

词条	Worm/Win32.Downloader.aas
释义	Worm/Win32.Downloader.aas，该病毒为下载者木马，病毒运行后，创建名为"u1s2a3f4e5n6o7w"的互斥量，防止病毒多次运行产生冲突，遍历进程查找"winlogon.exe"进程，找到之后打开该进程ID，动态将"sfc_os.dll"加载该进程中，获取该动态链接库基址，删除%System32%\\dllcache、%System32%\\drivers目录下的Beep.sys文件，衍生6611.tmp文件到%Temp%临时目录下，然后拷贝到%System32%\\drivers目录下。病毒标签：病毒描述：行为分析-本地行为：行为分析-网络行为：清除方案：病毒标签：病毒名称： Worm/Win32.Downloader.aas 病毒类型：下载者文件 MD5： 95C25C1D364CE0A173916595D8025C05 公开范围：完全公开危害等级： 4 文件长度： 16,588 字节感染系统： Windows98以上版本加壳类型： WinUpack 0.39 final -> By Dwing 病毒描述：该病毒为下载者木马，病毒运行后，创建的驱动文件主要行为：恢复SSDT躲避部分安全软件的主要防御提示，获取user32.dll文件创建时间将该驱动文件设置为user32.dll文件创建时间，并打开BEEP服务、使用系统服务加载病毒驱动文件，通过遍历进程查找大量安全软件进程如存在则添加注册表映射劫持，遍历进程查找avp.exe、RStray.exe进程，找到发送关闭消息，创建病毒驱动设备名"\\\\.\\PciFtDisk"判断%Windir%目录下的explorer.exe是否有效，将kernel32.dll加载到该进程中，拷贝%System32%目录下的"urlmon.dll"到临时目录下，动态加载临时目录下的"urlmon.dll"文件，调用API函数连接网络读取信息下载大量恶意文件，监视部分安全软件窗体，如发送后则发送关闭消息，衍生svchost.exe、绿化.bat到%Temp%临时目录下，查找\\WinRAR\\Rar.exe安装路径，遍历查找所有分区的.rar，.zip，.tgz，.cab，.tar文件，找到后调用winrar命令"-ep a"执行 %Temp%\\绿化.bat文件，通过内网ipc$共享传播自身。行为分析-本地行为： 1、创建名为"u1s2a3f4e5n6o7w"的互斥量，防止病毒多次运行产生冲突，遍历进程查找"winlogon.exe"进程，找到之后打开该进程ID，动态将"sfc_os.dll"加载该进程中，获取该动态链接库基址，删除%System32%\\dllcache、%System32%\\drivers目录下的Beep.sys文件。 2、文件运行后会释放以下文件 %System32%\\drivers\\Beep.sys （恢复SSDT躲避部分安全软件的主要防御提示） %Temp%\\svchost.exe （通过内网ipc$共享传播自身） %Temp%\\绿化.bat 3、添加注册表映射劫持 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\被劫持的文件名\\Debugger 值: 字符串: "ntsd -d" 360Safe.exe、360safebox.exe、360tray.exe、adam.exe、AgentSvr.exe、AntiArp.exe、AppSvc32.exe、arswp.exe、AST.exe、autoruns.exe、avcenter.exe、avconsol.exe、avgnt.exe、avgrssvc.exe、AvMonitor.exe、avp.com、avp.exe、CCenter.exe、ccSvcHst.exe、DrvAnti.exe、EGHOST.exe、FileDsty.exe、filemon.exe、FTCleanerShell.exe、FYFireWall.exe、GFRing3.exe、GFUpd.exe、HijackThis.exe、IceSword.exe、iparmo.exe、Iparmor.exe、isPwdSvc.exe、kabaload.exe、KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、KAVPFW.exe、KAVSetup.exe、KAVStart.exe、KISLnchr.exe、KMailMon.exe、KMFilter.exe、KPFW32.exe、KPFW32X.exe、KPfwSvc.exe、Kregex.exe、KRepair.com、KsLoader.exe、KvDetect.exe、KvfwMcl.exe、kvol.exe、kvolself.exe、KVSrvXP.exe、kvupload.exe、kvwsc.exe、KvXP.kxp、KWatch.exe、KWatch9x.exe、KWatchX.exe、MagicSet.exe、mcconsol.exe、McNASvc.exe、McProxy.exe、Mcshield.exe、mcsysmon.exe、mmqczj.exe、mmsk.exe、MpfSrv.exe、Navapsvc.exe、Navapw32.exe、NAVSetup.exe、nod32.exe、nod32krn.exe、nod32kui.exe、NPFMntor.exe、PFW.exe、PFWLiveUpdate.exe、ProcessSafe.exe、procexp.exe、QHSET.exe、QQDoctor.exe、QQDoctorMain.exe、QQKav.exe、Ras.exe、Rav.exe、RavMon.exe、RavMonD.exe、RavStub.exe、RavTask.exe、RawCopy.exe、RegClean.exe、regmon.exe、RegTool.exe、rfwcfg.exe、rfwmain.exe、rfwProxy.exe、rfwsrv.exe、rfwstub.exe、RsAgent.exe、Rsaupd.exe、RStray.exe、rstrui.exe、Rtvscan.exe、runiep.exe、safeboxTray.exe、safelive.exe、scan32.exe、SelfUpdate.exe、shcfg32.exe、SmartUp.exe、SREng.exe、SuperKiller.exe、symlcsvc.exe、SysSafe.exe、taskmgr.exe、TrojanDetector.exe、Trojanwall.exe、TrojDie.exe、UIHost.exe、UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、upiea.exe、UpLive.exe、USBCleaner.exe、vsstat.exe、webscanx.exe、WoptiClean.exe、zxsweep.exe 描述：被劫持的文件列表 4、获取user32.dll文件创建时间将该驱动文件设置为user32.dll文件创建时间，并打开BEEP服务、使用系统服务加载病毒驱动文件，遍历进程查找avp.exe、RStray.exe进程，找到发送关闭消息，创建病毒驱动设备名"\\\\.\\PciFtDisk"判断%Windir%目录下的explorer.exe是否有效，将kernel32.dll加载到该进程中，拷贝%System32%目录下的"urlmon.dll"到临时目录下，动态加载临时目录下的"urlmon.dll"文件。 5、监视部分安全软件窗体，如发送后则发送关闭消息，查找\\WinRAR\\Rar.exe安装路径，遍历查找所有分区的.rar，.zip，.tgz，.cab，.tar文件，找到后调用winrar命令"-ep a"执行 %Temp%\\绿化.bat文件，通过网络ipc$共享传播自身。行为分析-网络行为：协议：TCP 端口：80 连接地址：http://www.hfdy2929.com/bak.txt 描述：连接该地址读取列表下载大量恶意病毒文件注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。 %Windir% WINDODWS所在目录 %DriveLetter%　逻辑驱动器根目录 %ProgramFiles%　系统程序默认安装目录 %HomeDrive% 当前启动的系统的所在分区 %Documents and Settings% 当前用户文档根目录 %Temp% \\Documents and Settings\\当前用户\\Local Settings\\Temp %System32% 系统的 System32文件夹 Windows2000/NT中默认的安装路径是C:\\Winnt\\System32 windows95/98/me中默认的安装路径是%WINDOWS%\\System windowsXP中默认的安装路径是%system32% 清除方案： 1、使用安天防线可彻底清除此病毒(推荐)。 2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。** （1）使用ATOOL管理工具，“进程管理”查找结束病毒进程"hun.exe"。（2）强行删除病毒衍生及下载的大量病毒文件 %System32%\\drivers\\Beep.sys %Temp%\\svchost.exe %Temp%\\绿化.bat （3）删除病毒添加的注册表启动项及劫持的安全软件项 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\被劫持的文件名\\Debugger 删除Image File Execution Options键下被劫持的文件名
随便看	监外服刑监系监香使监乡监刑监盐监壹监议监引监印官监狱·劳教专业基础知识与技能考前冲刺试卷监狱安全防范监狱安全生产管理监狱霸王监狱暴乱监狱暴乱变态版监狱博物馆监狱长监狱宠物伙伴计划监狱大亨2 监狱大亨4：超大监房监狱大亨4:超大监房监狱大亨:阿卡左兹监狱法律关系监狱法学

病毒标签：

病毒描述：

行为分析-本地行为：

行为分析-网络行为：

清除方案：