词条 | Worm.Win32.Agent.aj |
释义 | Worm.Win32.Agent.aj简单分析 病毒名称:Worm.Win32.Agent.aj(Kaspersky) 病毒别名:win32.iuhzu.a(瑞星) 病毒大小:13327 bytes 加壳方式:NSPack, PE_Patch 样本MD5:f6cac56e082ed27d232b87911f6d0442 样本SHA1:5183cf2b9ce262265294b7778e0a2a59cd6ea2b1 编写语言:Microsoft Visual C++ 6.0 字串7 技术分析: 字串4 运行后复制自身到系统目录并运行: %Systemroot%\\system32\\IME\\svchost.exe(创建进程) 同时释放: %Systemroot%\\system32\\2.exe 字串8 %Systemroot%\\system32\\internt.exe 字串4 %Systemroot%\\system32\\progmon.exe 字串1 %Systemroot%\\Documents and Settings\\Administrator\\Local Settings\\Temp\\rs.bat rs.bat内容: @echo off :start if not exist ""%1"" goto done del /F ""%1"" del ""%1"" goto start :done del /F %t 字串9 创建启动项: [HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run] "internt.exe"="%Systemroot%\\system32\\internt.exe " [HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run] "Program file"="%Systemroot%\\system32\\progmon.exe " 字串5 创建服务: [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Alerter COM+] 字串9 显示名:Alerter COM+ 字串9 描述:Alerter COM+ 字串8 可执行文件的路径:%Systemroot%\\system32\\IME\\svchost.exe 字串2 字串7 向分区复制副本,并创建autorun.inf,使得病毒可以通过“自动播放”运行: X:\\setup.exe X:\\autorun.inf 字串7 [AutoRun] OPEN=setup.exe shellexecute=setup.exe shell\\Auto\\command=setup.exe 字串6 修改注册表使“显示所有文件和文件夹”设置失效: 字串3 [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL] "CheckedValue"=dword:00000000 字串3 尝试关闭相关窗口和相关进程: 字串4 Windows 任务管理器 字串1 兔子 字串4 任务 字串2 优化 字串5 注册表 字串3 Process 字串4 进程 字串4 木马 字串2 天网 字串7 防火墙 字串8 遍历目录,感染除以下目录外所有目录中的EXE文件: C:\\dllcache C:\\WINDOWS C:\\WINNT C:\\\\drivers C:\\Documents and Settings C:\\System Volume Information C:\\Recycled C:\\WINDOWS\\addins C:\\IME C:\\WINDOWS\\system Program Files\\Windows NT Program Files\\WindowsUpdate Program Files\\Windows Media Player Program Files\\Outlook Express Program Files\\Internet Explorer Program Files\etMeeting Program Files\\ComPlus Applications Program Files\\Messenger Program Files\\Common Files\\Microsoft Shared Program Files\\Microsoft Frontpage Program Files\\Movie Maker Program Files\\Internet Explorer\\Connection Wizard 但在虚拟机几次都没成功,应该是感染的机制问题。采用捆绑感染。由于测试没成功,就不具体说了。 字串3 病毒还尝试使用以下用户名和密码访问局域网内其它计算机,尝试将自身副本以2.exe的文件名复制过去: Administrator Guest admin home NULL 123456 login love 字串1 连接http://union.itlearner.com/ip/getip.asp以计算IP的方式统计感染人数---小孤语。我去那网站看了一下,同意小孤的说法。 字串7 连接网络,下载病毒文件到本机运行: IP:210.245.162.13(香港新世界电讯) 下载远程执行工具PsExec,命名为1.exe %Systemroot%\\system32\\1.exe 字串9 wgtw[1].exe 释放DLL: %Systemroot%\\system32\\hs3midia.dll 不断写删注册表,进行IP欺骗 注册驱动: %Systemroot%\\system32\\drivers\\ws2ifsl.sys 创建服务: [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ws2ifsl] 字串3 显示名:ws2ifsl 字串8 描述:Windows真接字2.0 Non-行服务提供 字串8 可执行文件的路径:%Systemroot%\\system32\\drivers\\ws2ifsl.sys 最后创建批处理删除自身。 字串6 |
随便看 |
|
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。