| 词条 | 蠕虫病毒Win32.Bypuss.B |
| 释义 | Win32/Bypuss.B是一种蠕虫,通过移动存储器传播,尝试发送用户的文档副本到远程服务器。 病毒名称蠕虫病毒Win32.Bypuss.B, W32.SillyFDC (Symantec), W32/SillyFDC-N (Sophos), Worm.Win32.Agent.o (Kaspersky) 病毒属性蠕虫病毒 危害性中等危害 流行程度高 感染方式Win32/Bypuss.B 生成一个DLL 文件到 %Temp%\\dfssetup.tmp,这是一个隐藏的系统文件,随后调用DLL的一个功能。 这个DLL文件还会复制一个隐藏的系统文件到以下位置: %System%\\mfc48.dll %Windows%\\java\\classes\\java.dll %System%\\kernel32.sys 它使用格式为病毒任意生成一个Class ID,这里的每个X代表一个十六进制数字。例如Class ID 可能是 。随后使用Class ID生成以下注册表键值: HKLM\\SOFTWARE\\Microsoft\\Internet Explorer\\GUID = "" HKCR\\CLSID\\\\(Default) = "Java Class" HKCR\\CLSID\\\\InprocServer32\\(Default) = "C:\\WINDOWS\\java\\classes\\java.dll" HKCR\\CLSID\\\\InprocServer32\\ThreadingModel = "Apartment" HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer \\Browser Helper Objects\\\\(Default) = "" 为了确保隐藏文件不在Windows资源管理器,它还会修改以下注册表: HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced \\ShowSuperHidden = 0x0 HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer \\Advanced\\Folder\\SuperHidden\\CheckedValue = 0x0 HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer \\Advanced\\Folder\\SuperHidden\\UncheckedValue = 0x0 为了在任一新程序运行时加载蠕虫的DLL文件,病毒修改以下注册表键值: HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion \\Windows\\AppInit_DLLs = "kernel32.sys" 以上所有文件和注册表键值都会定期的被重复写入。 如果蠕虫在使用移动存储器的autorun时被调用,它就会打开一个“我的电脑”窗口,列出被感染的驱动器根目录下非隐藏属性的内容。 如果以下进程正在运行,蠕虫会将代码注入到其中一个或者更多的进程中: explorer.exe winlogon.exe lsass.exe svchost.exe qq.exe 如果以下程序正在运行,蠕虫会运行它的恶意代码: alg.exe conime.exe csrss.exe explorer.exe inetinfo.exe kavstart.exe msmsgs.exe qq.exe smss.exe svchost.exe winlogon.exe wuauclt.exe 注:'%Windows%',%System% 和 %Temp%都是可变的路径。病毒通过查询操作系统来决定这些文件夹的位置。Windows 目录在Windows 2000 and NT默认的系统安装路径是C:\\Winnt; 95,98 和 ME 的是C:\\Windows; XP 的是C:\\Windows。System目录在Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32; 95,98 和 ME 的是C:\\Windows\\System; XP 的是C:\\Windows\\System32。Temp目录一般在以下路径:"C:\\Documents and Settings\\\\Local Settings\\Temp", 或 "C:\\WINDOWS\\TEMP"。 传播方式通过移动存储器传播 Bypuss.B通过复制病毒到移动存储器上进行传播,例如USB存储器。当添加一个移动存储器时,Bypuss.B作为一个隐藏的系统文件复制到/RECYCLER/RECYCLER/autorun.exe。它还会替换以下隐藏的配置文件: /RECYCLER/RECYCLER/desktop.ini /autorun.inf 当移动存储器添加到另一个系统时,就会运行"autorun.exe",它会在被感染系统上激活移动存储器的自动运行功能。 危害发送文档到远程服务器Bypuss.B扫描所有的移动驱动器和从C:/ 到Z:/ 所有驱动器上以 .doc 或 .xls 为扩展名文件。如果安装了WinRAR文件,病毒就会利用WinRAR将所有相关的文件压缩到以下位置: %System%\\%MS%HCopy.tmp %System%\\%MS%UCopy.tmp 注:上面的%MS%是文件名的一部分,不表示变量。 但是,由于蠕虫代码中的错误,只有C:/ 驱动器和任一可移动驱动器是完全扫描的。其它的硬盘驱动器和ramdisk,只扫描这些驱动器的根目录。 如果被感染机器上没有WinRAR,蠕虫就会生成另一个副本%System%\\FileSpy.exe,并使用这个副本生成一个干净的文件%System%\\rar.exe。随后,它使用"rar.exe"来压缩文件。 所有的驱动器都被扫描后,蠕虫就会发送加密的副本%MS%HCopy.tmp 和 %MS%UCopy.tmp 到61.128.197.212上的一个服务器。 终止进程Bypuss.B 尝试终止"iparm.exe" 进程。 其它信息当Bypuss.B发送文件到服务器的时候,它可能回应一个信号,卸载蠕虫。在某个特定的日期后蠕虫也会卸载自身。另外,蠕虫删除以下文件: %Windows%\\java\\classes\\java.dll %System%\\kernel32.sys 它还删除以下注册表: HKCR\\CLSID\\< ClassID >\\InprocServer32 HKCR\\CLSID\\< ClassID > HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer \\Browser Helper Objects\\< ClassID > HKLM\\SOFTWARE\\Microsoft\\Internet Explorer\\GUID 并修改以下注册表键值: HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced \\ShowSuperHidden = 0x0 HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer \\Advanced\\Folder\\SuperHidden\\CheckedValue = 0x0 HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer \\Advanced\\Folder\\SuperHidden\\UncheckedValue = 0x1 HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion \\Windows\\AppInit_DLLs = "" 清除KILL安全胄甲Vet 30.7.3579 版本可检测/清除此病毒。 |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。