Worm.Win32.Skipi.b分析与清除方案

病毒名称： Worm.Win32.Skipi.b

病毒类型： 蠕虫

文件 MD5： 9FC5FAD65FB0DAE7B5370607D103AA80

公开范围： 完全公开

危害等级： 4

文件长度： 188,416 字节

感染系统： Windows98以上版本

开发工具： Microsoft Visual C++ 7.0

加壳类型： 无

二、 病毒描述：

该病毒属蠕虫类，病毒运行后复制自身到系统目录下，并分别重命名为：mshtmldat32.exe、sdrivew32.exe、winlgcvers.exe、wndrivs32.exe；修改注册表，添加启动项，以达到随机启动的目的；病毒运行后打开%windir%目录下的图片Soap Bubbles.bmp；wndrivs32.exe以子进程的方式注入到系统进程explorer.exe中，并间隔6000ms查看一次wndrivs32.exe进程，如关闭则重新启动；该病毒通过Skype文字聊天工具进行传播。修改主机host文件，屏蔽安全软件相关网站。

三、 行为分析：

1、病毒运行后复制自身到系统目录%system32%下：

%system32%\\mshtmldat32.exe

%system32%\\sdrivew32.exe

%system32%\\winlgcvers.exe

%system32%\\wndrivs32.exe

2、修改注册表，添加启动项，以达到随机启动的目的：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce

键值: 字串: "Services Start"="mshtmldat32.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\

键值: 字串: 0022Windows Sys"="explorer.exe mshtmldat32.exe"

3、病毒运行后打开%windir%目录下的图片Soap Bubbles.bmp。

4、wndrivs32.exe以子进程的方式注入到系统进程explorer.exe中，并间隔6000ms查看一次wndrivs32.exe进程，如关闭则重新启动。

网络行为:

1、通过Skype发送以下诱惑文字诱使用户执行病毒：

pala biski

as net nezinau ka tavo vietoj daryciau. :S

matai :D

;) geras ane ? patinka ?

kas cia tavim taip isderge ? =]]

cia tu isimetei?

cia biski su photoshopu pazaidziau bet bet irgi gerai atrodai :D

zek kur tavo foto metos isdergta

(mm) kaip as taves noriu

ziurek kur tavo foto imeciau :D esi?

labas this (happy) sexy one

what ur friend name wich is in photo ?

u happy ?

oh sry not for u

oops sorry please don't look there :S

you checked ? :D

(rofl) (devil) :) really funny

now u populr

haha lol

I used photoshop and edited it

look what crazy photo Tiffany sent to me,looks cool where I put ur

photo :D

your photos looks realy nice

look

hey how are u ? :)

2、该病毒通过Skype文字聊天工具进行传播。

3、修改主机host文件，屏蔽安全软件相关网站，屏蔽了以下网站：

139.206.15.236 symantec.comsecurityresponse.symantec.com

180.60.30.22 www.symantec.comsecurityresponse.symantec.com

21.240.105.130 pandasoftware.com

142.228.78.42 www.pandasoftware.com

116.151.83.254 sophos.com

146.95.10.145 www.sophos.com

109.1.56.19 mcafee.com

205.127.53.127 www.mcafee.com

120.49.150.21 downloads-us1.kaspersky-labs.com

65.23.10.11 www.downloads-us1.kaspersky-labs.com

65.110.130.128 updates1.kaspersky-labs.com

101.129.149.177 www.updates1.kaspersky-labs.com

41.194.34.111 updates2.kaspersky-labs.com

162.25.55.209 www.updates2.kaspersky-labs.com

194.124.49.38 updates3.kaspersky-labs.com

216.192.37.45 www.updates3.kaspersky-labs.com

86.175.127.137 updates4.kaspersky-labs.com

215.90.233.111 www.updates4.kaspersky-labs.com

96.177.111.162 updates5.kaspersky-labs.com

230.80.224.161 www.updates5.kaspersky-labs.com

17.156.119.30 downloads1.kaspersky-labs.com

64.15.186.179 www.downloads1.kaspersky-labs.com

205.208.163.209 downloads2.kaspersky-labs.com

146.135.254.249 www.downloads2.kaspersky-labs.com

172.111.18.46 downloads3.kaspersky-labs.com

221.89.205.187 www.kaspersky.ru

184.181.183.141 msk1.drweb.com

245.249.24.104 www.msk1.drweb.com

86.41.159.215 msk2.drweb.com

106.177.216.28 www.msk2.drweb.com

198.250.79.32 msk3.drweb.com

145.58.248.176 www.msk3.drweb.com

70.144.206.229 msk4.drweb.com

181.80.187.228 www.msk4.drweb.com

75.156.184.200 boss.drweb.comdrweb.com

148.52.53.221 www.boss.drweb.comdrweb.com

254.142.187.15 liveupdate.symantecliveupdate.com

224.42.208.162 www.liveupdate.symantecliveupdate.com

186.32.27.35 viruslist.com

191.251.200.158 www.viruslist.com

144.201.46.17 security.symantec.com

75.115.175.33 www.security.symantec.com

196.75.224.12 f-secure.com

18.228.234.223 www.f-secure.com

78.38.49.233 kaspersky-labs.com

151.161.51.111 www.kaspersky-labs.com

89.34.178.161 kaspersky.com

207.132.21.205 www.kaspersky.com

199.201.12.211 avp.com

166.106.115.217 www.avp.com

171.234.121.63 norman.com

120.177.1.213 www.norman.com

206.24.72.76 sandbox.norman.com

152.193.200.235 www.sandbox.norman.com

43.41.93.131 networkassociates.com

204.128.167.165 www.networkassociates.com

... ...

（省略部分）

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。

%Temp% = C:\\Documents and Settings\\AAAAA\\Local Settings\\Temp 当前用户TEMP缓存变量

%Windir%\\ WINDODWS所在目录

%DriveLetter%\\ 逻辑驱动器根目录

%ProgramFiles%\\ 系统程序默认安装目录

%HomeDrive% = C:\\ 当前启动的系统的所在分区

%Documents and Settings%\\ 当前用户文档根目录

四、 清除方案：

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

wndrivs32.exe

关闭系统进程explorer.exe，并重启explorer.exe进程

(2) 删除病毒文件

%system32%\\mshtmldat32.exe

%system32%\\sdrivew32.exe

%system32%\\winlgcvers.exe

%system32%\\wndrivs32.exe

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\

键值: 字串: 0022Windows Sys"="explorer.exe mshtmldat32.exe"

www.newjian.com