请输入您要查询的百科知识:

 

词条 Worm.Win32.Downloader.pu
释义

病毒标签:

病毒名称: Worm.Win32.Downloader.pu

病毒类型: 蠕虫

文件 MD5: 54CCD54F51A0D054D71053D1C542F2ED

公开范围: 完全公开

危害等级: 4

文件长度: 36,796 字节

感染系统: Windows98以上版本

开发工具: Microsoft Visual C++ 6.0 SPx Method 1

加壳类型: WinUpack 0.39 final -> By Dwing

病毒描述:

该病毒为蠕虫木马类,病毒运行获取系统进程,查找进程中是否存在AVP.exe(卡巴

斯基杀毒软件),如找到该进程则把当前系统时间修改为2001年,目的使卡巴主动失效,

遍历System32目录查找\\s*st.exe的文件,找到svchost.exe文件后,创建一个进程并调

用ReadProcessMemory函数读写该进程内存,调用ZwUnmapViewOfSection获取当前进程

映射的基址,然后调用WriteProcessMemory函数对内存地址写入病毒数据,创建注册表

病毒服务项、映像劫持多款安全软件,目的使系统安全性降低,连接网络读取列表下载大

量恶意文件并运行,给用户清除病毒带来极大的不便。

行为分析:

本地行为:

1、病毒运行获取系统进程,查找进程中是否存在AVP.exe(卡巴斯基杀毒软件),

如找到该进程则把当前系统时间修改为2001年,目的使卡巴主动失效。

2、映像劫持多款安全软件:

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft

\\Windows NT\\CurrentVersion

\\Image File Execution Options\\被映像劫持的文件名称]

新建键值: "Debugger"

类型: REG_SZ

字符串: “C:\\WINDOWS\\system32\\svchost.exe”

劫持文件名列表:

360rpt.exe、360safebox.exe、360tray.exe、adam.exe、

AgentSvr.exe、AppSvc32.exe、ati2evxx.exe、autoruns.exe、

avconsol.exe、avgrssvc.exe、AvMonitor.exe、avp.com、

avp.exe、CCenter.exe、ccSvcHst.exe、egui.exe、esafe.exe、

FileDsty.exe、FTCleanerShell.exe、HijackThis.exe、

IceSword.exe、idag.exe、Iparmor.exe、isPwdSvc.exe、

kabaload.exe、kaccore.exe、KaScrScn.SCR、KASMain.exe、

KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、KAVPFW.exe、

KAVSetup.exe、KAVStart.exe、kavsvc.exe、KAVsvcUI.exe、

KISLnchr.exe、kissvc.exe、KMailMon.exe、KMFilter.exe、

KPFW32.exe、kpfwsvc.exe、KPPMain.exe、KRegEx.exe、

KRepair.com、KsLoader.exe、KVCenter.kxp、KvDetect.exe、

KVFW.EXE、KvfwMcl.exe、KVMonXP_1.kxp、kvol.exe、

kvolself.exe、KvReport.kxp、KVScan.kxp、KVsrvXP.exe、

KVStub.kxp、kvupload.exe、KVwsc.exe、kwatch.exe、

KWatch9x.exe、KWatchX.exe、MagicSet.exe、mcconsol.exe、

mmqczj.exe、mmsk.exe、navapsvc.exe、Navapw32.exe、

nod32krn.exe、NPFMntor.exe、OllyDBG.EXE、OllyICE.EXE、

PFW.exe、PFWLiveUpdate.exe、procexp.exe、QHSET.exe、

qqdoctor.exe、qqkav.exe、qqsc.exe、Ras.exe、rav.exe、

rav.exe、RAVmon.exe、RAVmonD.exe、ravstub.exe、

ravtask.exe、ravtimer.exe、ravtool.exe、RegClean.exe、

regtool.exe、rfwmain.exe、FYFireWall.exe、、

rfwproxy.exe、FYFireWall.exe、rfwsrv.exe、rfwstub.exe、

rising.exe、Rsaupd.exe、runiep.exe、safebank.exe、

safeboxtray.exe、safelive.exe、scan32.exe、shcfg32.exe、

SmartUp.exe、SREng.EXE、symlcsvc.exe、SysSafe.exe、

TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、

UIHost.exe、UIHost.exe、UmxAgent.exe、UmxAttachment.exe、

UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、UpLive.exe、

vsstat.exe、webscanx.exe、WinDbg.exe、WoptiClean.exe

3、遍历System32目录查找\\s*st.exe的文件,找到svchost.exe文件后,

创建一个进程并调用ReadProcessMemory函数读写该进程内存,调用

ZwUnmapViewOfSection获取当前进程映射的基址,然后调用

WriteProcessMemory函数对内存地址写入病毒数据,连接网络读取列

表下载大量恶意文件并运行。

网络行为:

协议:TCP

端口:80

连接服务器名:http://www.iuwev.cn/baibai.txt

IP地址:121.10.107.66

描述:连接服务器读取TXT列表内容下载病毒,读取的列表内容:

[5]

20080512 http://hi.aich****.cn/down/e1.exe

20080512 http://hi.aich****.cn/down/r2.exe

20080512 http://hi.aich****.cn/down/a3.exe

20080512 http://hi.aich****.cn/down/j4.exe

20080512 http://hi.aich****.cn/down/y5.exe

20080512 http://hi.aich****.cn/down/m6.exe

20080512 http://hi.aich****.cn/down/r7.exe

20080512 http://hi.aich****.cn/down/i8.exe

20080512 http://hi.aich****.cn/down/x9.exe

20080512 http://hi.aich****.cn/down/l10.exe

20080512 http://hi.aich****.cn/down/b11.exe

20080512 http://hi.aich****.cn/down/z12.exe

20080512 http://hi.aich****.cn/down/m13.exe

20080512 http://hi.aich****.cn/down/n14.exe

20080512 http://hi.aich****.cn/down/o15.exe

20080512 http://hi.aich****.cn/down/g16.exe

20080512 http://hi.aich****.cn/down/j17.exe

20080512 http://hi.aich****.cn/down/l18.exe

20080512 http://hi.aich****.cn/down/c19.exe

20080512 http://hi.aich****.cn/down/t20.exe

20080512http://hi.aich****.cn/down/p21.exe

20080512http://hi.aich****.cn/down/x22.exe

20080512http://hi.aich****.cn/down/m23.exe

20080512http://hi.aich****.cn/down/o24.exe

20080512http://hi.aich****.cn/down/b25.exe

20080512http://hi.aich****.cn/down/e26.exe

20080512http://hi.aich****.cn/down/v27.exe

20080512http://hi.aich****.cn/down/m28.exe

20080512http://hi.aich****.cn/down/u29.exe

20080512http://hi.aich****.cn/down/h30.exe

20080512http://hi.aich****.cn/down/b31.exe

20080512http://hi.aich****.cn/down/c32.exe

20080512http://hi.aich****.cn/down/u33.exe

20080512http://hi.aich****.cn/down/f34.exe

20080512http://hi.aich****.cn/down/p35.exe

注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的

位置。

%Windir% WINDODWS所在目录

%DriveLetter% 逻辑驱动器根目录

%ProgramFiles% 系统程序默认安装目录

%HomeDrive% 当前启动的系统的所在分区

%Documents and Settings% 当前用户文档根目录

%Temp% \\Documents and Settings

\\当前用户\\Local Settings\\Temp

%System32% 系统的 System32文件夹

Windows2000/NT中默认的安装路径是C:\\Winnt\\System32

windows95/98/me中默认的安装路径是C:\\Windows\\System

windowsXP中默认的安装路径是C:\\Windows\\System32

清除方案:

1、使用安天防线可彻底清除此病毒(推荐),安天防线下载地址:http://www.antiyfx.com/download.htm 。

2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1)使用ATOOL“进程管理”关闭病毒相关进程,ATOOL下载地址:http://www.antiy.com/freetools/atool.htm 。

(2)删除病毒服务注册表项:

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft

\\Windows NT\\CurrentVersion]

键值: "Image File Execution Options"

删除注册表Image File Execution Options键值

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/2/3 13:41:57