请输入您要查询的百科知识:

 

词条 Worm.Win32.Agent.aj
释义

Worm.Win32.Agent.aj简单分析

病毒名称:Worm.Win32.Agent.aj(Kaspersky)

病毒别名:win32.iuhzu.a(瑞星)

病毒大小:13327 bytes

加壳方式:NSPack, PE_Patch

样本MD5:f6cac56e082ed27d232b87911f6d0442

样本SHA1:5183cf2b9ce262265294b7778e0a2a59cd6ea2b1

编写语言:Microsoft Visual C++ 6.0 字串7

技术分析: 字串4

运行后复制自身到系统目录并运行:

%Systemroot%\\system32\\IME\\svchost.exe(创建进程)

同时释放:

%Systemroot%\\system32\\2.exe

字串8

%Systemroot%\\system32\\internt.exe 字串4

%Systemroot%\\system32\\progmon.exe 字串1

%Systemroot%\\Documents and Settings\\Administrator\\Local Settings\\Temp\\rs.bat

rs.bat内容:

@echo off

:start

if not exist ""%1"" goto done

del /F ""%1""

del ""%1""

goto start

:done

del /F %t 字串9

创建启动项:

[HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]

"internt.exe"="%Systemroot%\\system32\\internt.exe "

[HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]

"Program file"="%Systemroot%\\system32\\progmon.exe "

字串5

创建服务:

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Alerter COM+]

字串9

显示名:Alerter COM+

字串9

描述:Alerter COM+ 字串8

可执行文件的路径:%Systemroot%\\system32\\IME\\svchost.exe

字串2

字串7

向分区复制副本,并创建autorun.inf,使得病毒可以通过“自动播放”运行:

X:\\setup.exe

X:\\autorun.inf 字串7

[AutoRun]

OPEN=setup.exe

shellexecute=setup.exe

shell\\Auto\\command=setup.exe

字串6

修改注册表使“显示所有文件和文件夹”设置失效:

字串3

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL]

"CheckedValue"=dword:00000000

字串3

尝试关闭相关窗口和相关进程: 字串4

Windows 任务管理器 字串1

兔子 字串4

任务 字串2

优化 字串5

注册表 字串3

Process

字串4

进程

字串4

木马

字串2

天网

字串7

防火墙 字串8

遍历目录,感染除以下目录外所有目录中的EXE文件:

C:\\dllcache

C:\\WINDOWS

C:\\WINNT

C:\\\\drivers

C:\\Documents and Settings

C:\\System Volume Information

C:\\Recycled

C:\\WINDOWS\\addins

C:\\IME

C:\\WINDOWS\\system

Program Files\\Windows NT

Program Files\\WindowsUpdate

Program Files\\Windows Media Player

Program Files\\Outlook Express

Program Files\\Internet Explorer

Program Files\etMeeting

Program Files\\ComPlus Applications

Program Files\\Messenger

Program Files\\Common Files\\Microsoft Shared

Program Files\\Microsoft Frontpage

Program Files\\Movie Maker

Program Files\\Internet Explorer\\Connection Wizard

但在虚拟机几次都没成功,应该是感染的机制问题。采用捆绑感染。由于测试没成功,就不具体说了。

字串3

病毒还尝试使用以下用户名和密码访问局域网内其它计算机,尝试将自身副本以2.exe的文件名复制过去:

Administrator

Guest

admin

home

NULL

123456

login

love 字串1

连接http://union.itlearner.com/ip/getip.asp以计算IP的方式统计感染人数---小孤语。我去那网站看了一下,同意小孤的说法。 字串7

连接网络,下载病毒文件到本机运行:

IP:210.245.162.13(香港新世界电讯)

下载远程执行工具PsExec,命名为1.exe

%Systemroot%\\system32\\1.exe

字串9

wgtw[1].exe

释放DLL:

%Systemroot%\\system32\\hs3midia.dll

不断写删注册表,进行IP欺骗

注册驱动:

%Systemroot%\\system32\\drivers\\ws2ifsl.sys

创建服务:

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ws2ifsl] 字串3

显示名:ws2ifsl 字串8

描述:Windows真接字2.0 Non-行服务提供

字串8

可执行文件的路径:%Systemroot%\\system32\\drivers\\ws2ifsl.sys

最后创建批处理删除自身。

字串6

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/3/1 3:06:34