| 词条 | 蠕虫病毒Win32.Blackmal.G |
| 释义 | Win32.Blackmal.G是一种通过邮件和网络共享传播的蠕虫。蠕虫是大小为94,154字节,以UPX格式加壳的可运行程序。 基本信息病毒名称:蠕虫病毒Win32.Blackmal.G 其它名称:W32.Blackmal.E@mm (Symantec), W32/Mywife!ITW#10 (WildList), Win32/Mywife.L@mm (MS OneCare), W32/Nyxem-H (Sophos), Email-Worm.Win32.Nyxem.e (Kaspersky) 发展历程:从1988年莫里斯从实验室放出第一个蠕虫病毒以来,计算机蠕虫病毒以其快速、多样化的传播方式不断给网络世界带来灾害。特别是1999年以来,高危蠕虫病毒的不断出现,使世界经济蒙受了轻则几十亿,重则几百亿美元的巨大损失。蠕早虫病毒专区主要就是为了告诉大家蠕虫病毒的特征、传播过程、以及如何防御来解析蠕虫病毒,让大家从根本上来了解蠕虫病毒…… 病毒属性:蠕虫病毒 危害性:高危害 流行程度:中 具体介绍感染方式运行时Blackmal.G 复制Rundll16.exe 到%Windows% 目录,并运行这个文件。 蠕虫继续使用以下文件名复制到%System%目录: Winzip.exe Update.exe scanregw.exe 并修改以下注册表,为了在每次系统启动时运行"scanregw.exe": HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\ScanRegistry = "scanregw.exe /scan" 这个注册表键值能够重复生成。 蠕虫还会在%System%目录生成一个DLL文件"MSWINSCK.OCX" 。 之后运行Rundll16.exe,使被感染机器上的鼠标和键盘失效。当系统重启时,Blackmal.G 作为"scanregw.exe /scan"被运行,生成两个蠕虫的实例%Windows%\\Winzip.exe 和 %Windows%\\Update.exe。每个都会查找另一个文件和scanregw.exe的存在,任一文件被删除都会再次生成。 注:%System%和%Windows%都是可变路径,病毒通过查询操作系统来决定当前这些文件夹的位置。System在Windows2000/NT中默认的安装路径是C:\\Winnt\\System32,windows95/98/me中默认的安装路径是C:\\Windows\\System,windowsXP中默认的安装路径是C:\\Windows\\System32。Windows在Windows2000/NT中默认的安装路径是C:\\Winnt,windows95/98/me中默认的安装路径是C:\\Windows,windowsXP中默认的安装路径是C:\\Windows。 蠕虫使用Winzip图标: 传播方式通过网络共享传播Blackmal.G尝试连接,并复制到以下系统管理级共享: \\Admin$\\WINZIP_TMP.exe \\c$\\WINZIP_TMP.exe 随后蠕虫在预定任务列表'%Windows%\\Tasks'中添加任务,在蠕虫第一次运行的当天的那个小时的第59分钟运行这些文件。 例如,如果蠕虫在下午4点运行,那么它将预定一个任务在下午4:59运行。 它还会复制到\\c$\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\WinZip Quick Pick.exe ,并删除 \\c$\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\WinZip Quick Pick.lnk。 通过邮件传播Blackmal.G尝试通过邮件发送病毒,邮件地址从本地机器获取,邮件的主题、内容、附件都是可变的。蠕虫从本地机器中的以下扩展名的文件获取邮件地址: .HTM .DBX .EML .MSG .OFT .NWS .VCF .MBX .IMH .TXT .MSF 蠕虫不发送名称中包含以下字符的地址: @YAHOOGROUPS BLOCKSENDER SCRIBE YAHOOGROUPS TREND PANDA SECUR SPAM ANTI CILLIN CA.COM AVG GROUPS.MSN NOMAIL.YAHOO.COM EEYE MICROSOFT HOTMAIL MSN MYWAY 邮件主题可能是: Re: Sex Video Re: Fw: Picturs Fw: Funny :) Fwd: Photo Fwd: image.jpg Fw: Sexy Fw: Fw: SeX.mpg Fwd: Crazy illegal Sex! Fw: DSC-00465.jpg eBook.pdf Hello Fw: Real show the file Word file School girl fantasies gone bad Hot XXX Yahoo Groups A Great Video F**kin Kama Sutra pics ready to be F**KED ;) Arab sex DSC-00465.jpg give me a kiss *Hot Movie* VIDEOS! FREE! (US$ 0,00) Part 1 of 6 Video clipe Miss Lebanon 2006 You Must View This Videoclip! 邮件内容可能是: What? Note: forwarded message attached. forwarded message attached. i attached the details. Thank you hi i send the details bye how are you? i send the details. OK ? Please see the file. i just any one see my photos. The Best Videoclip Ever 一些邮件内容包含空的图像文件,可能带有以下文件名: DSC-00465.jpg DSC-00466.jpg DSC-00467.jpg photo photo2 photo3 邮件附件: 蠕虫附加在邮件中进行发送。 附件名称可能是: New_Document_file.pif document.pif 007.pif eBook.PIF DSC-00465.Pif 其他途径有时附加病毒使用uuencoded 编码格式。这个文件需要使用象WinZIP这种工具解码来运行蠕虫。以下是蠕虫附加在附件中的使用的文件名: Attachments001.BHX Atta[001],zip[many spaces].SCR Attachments00.HQX Attachments,zip[many spaces].SCR Attachments[001].B64 Attachments[001],B64[many spaces].sCr Video_part.mim New Video,zip[many spaces].sCr Word_Document.hqx Word.zip[many spaces].sCR SeX.mim SeX,zip[many spaces].scR Sex.mim WinZip.zip[many spaces].sCR Word_Document.uu Word XP.zip[many spaces].sCR Original Message.B64 ATT01.zip[many spaces].sCR 3.92315089702606E02.UUE 392315089702606E-02,UUE[many spaces].scR Photos Photos,zip[many spaces].sCR Sweet_09 Adults_9,zip[many spaces].sCR Clipe Clipe,zip[many spaces].sCr WinZip.BHX WinZip.zip[many spaces].sCR 危害通过注册表修改系统设置 蠕虫从以下注册表位置删除以下键值(如果这些键值存在): Keys: HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices Values: NPROTECT ccApp ScriptBlocking MCUpdateExe VirusScan Online MCAgentExe VSOCheckTask McRegWiz CleanUp MPFExe MSKAGENTEXE MSKDetectorExe McVsRte PCClient.exe PCCIOMON.exe pccguide.exe Pop3trap.exe PccPfw PCCIOMON.exe tmproxy McAfeeVirusScanService NAV Agent PCCClient.exe SSDPSRV rtvscn95 defwatch vptray ScanInicio APVXDWIN KAVPersonal50 kaspersky TM Outbreak Agent AVG7_Run AVG_CC Avgserv9.exe AVGW AVG7_CC AVG7_EMC Vet Alert VetTray OfficeScanNT Monitor avast! DownloadAccelerator BearShare 蠕虫还会设置以下键值,为了隐藏文件,不在资源管理器中看到(因此能够隐藏病毒的存在): HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\ShowSuperHidden = 0 另外,蠕虫删除HKCU\\SOFTWARE\ico Mak Computing\\WinZip\\filemenu,随后生成这个键值,并添加不同的键值。 如果HKCU\\Control Panel\\DNS键值存在并被设置为1,蠕虫就会写入不同的值到HKCU\\Control Panel\\Bmale 。 删除文件Blackmal.G从被感染机器上删除以下文件: %ProgramFiles%\\LimeWire\\LimeWire 4.2.6\\LimeWire.jar 蠕虫删除以下文件夹中的所有文件: %Program Files%\\Symantec\\LiveUpdate %Program Files%\\Symantec\\Common Files\\Symantec Shared %Program Files%\\McAfee.com\\Agent %Program Files%\\McAfee.com\\shared 蠕虫删除以下目录中所有的.DLL为扩展名的文件: %Program Files%\\DAP %Program Files%\\BearShare %Program Files%\\Grisoft\\AVG7 %Program Files%\\TREND MICRO\\OfficeScan %Program Files%\\Morpheus 蠕虫还会删除以下目录中所有的.EXE文件: \\Trend Micro\\PC-cillin 2002 \\Trend Micro\\PC-cillin 2003 \\Trend Micro\\Internet Security \orton AntiVirus \\Alwil Software\\Avast \\McAfee.com\\VSO \avNT 还会删除以下位置中以.EXE和.PPL为扩展名的文件: %Program Files%\\Kaspersky Lab\\Kaspersky Anti-Virus Personal\\ 注:%Program Files%是一个可变目录,病毒通过查询操作系统来决定当前Program Files文件夹的位置。一般在以下位置C:\\Program Files。 蠕虫还会删除C$中以下文件夹中的所有文件: \\C$\\Program Files\orton AntiVirus \\C$\\Program Files\\Common Files\\symantec shared \\C$\\Program Files\\Symantec\\LiveUpdate \\C$\\Program Files\\McAfee.com\\VSO \\C$\\Program Files\\McAfee.com\\Agent \\C$\\Program Files\\McAfee.com\\shared \\C$\\Program Files\\Trend Micro\\PC-cillin 2002 \\C$\\Program Files\\Trend Micro\\PC-cillin 2003 \\C$\\Program Files\\Trend Micro\\Internet Security \\C$\\Program Files\avNT \\C$\\Program Files\\Panda Software\\Panda Antivirus Platinum \\C$\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus Personal \\C$\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus Personal Pro \\C$\\Program Files\\Panda Software\\Panda Antivirus 6.0 \\C$\\Program Files\\CA\\eTrust EZ Armor\\eTrust EZ Antivirus 另外,Blackmal.G删除以下注册表键值指向的文件夹中不同文件(如果这些键值在被感染机器上存在): 它删除以下键值指向的文件夹中的所有文件: HKLM\\SOFTWARE\\KasperskyLab\\InstalledProducts\\Kaspersky Anti-Virus Personal\\Folder 它删除以下键值指向的文件夹中的所有的 .exe 和 .ppl 文件: HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\App Paths\\Iface.exe\\Path 它删除以下键值指向的文件夹中的所有的 .exe文件: HKLM\\SOFTWARE\\Symantec\\InstalledApps\AV HKLM\\Software\\INTEL\\LANDesk\\VirusProtect6\\CurrentVersion\\Home Directory HKLM\\SOFTWARE\\KasperskyLab\\Components\\101 HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Panda Antivirus 6.0 Platinum\\InstallLocation 覆盖文件在每个月的第三天,蠕虫在本地驱动器上搜索带有以下扩展名的文件: .doc .xls .mdb .mde .ppt .pps .zip .rar .psd .dmp 如果找到这些文件,它就会使用以下内容替换文件内容: DATA Error [47 0F 94 93 F4 K5] 关闭窗口 蠕虫关闭标题包含以下字符串的窗口: SYMANTEC SCAN KASPERSKY VIRUS MCAFEE TREND MICRO NORTON REMOVAL FIX 其他信息如果用户使用资源管理器生成文件,Blackmal.G就在被感染机器的根目录生成病毒副本。例如,如果用户生成"text.txt"文件,蠕虫可能复制病毒到"C:\\text.exe"。 同时,当使用资源管理器浏览文件时,如果每个被打开的文件夹存在desktop.ini文件,蠕虫就会修改这个文件,复制WinZip_Tmp.exe到这个文件夹,随后生成Temp.htt文件。 为了掩饰病毒的存在,蠕虫在%System%目录中生成一个空的ZIP文件,并打开它。ZIP文件名称与运行文件名称一样,只是扩展名为".zip"。 Blackmal.G可能在任务栏显示一个信息或一个图标: 蠕虫还会连接到"webstats.web.rcn.net"站点,大概是记录一个新的系统被感染。 清除: KILL安全胄甲Vet 30.3.3170 版本可检测/清除此病毒。 |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。