“Worm.Win32.Downloader.nm”的意思、由来-中文百科全书

病毒标签

毒名称： Worm.Win32.Downloader.nm

病毒类型：蠕虫

文件 MD5： 659D70B13E9D117DEA8F3DBBC8FC103C

公开范围：完全公开

危害等级： 4

文件长度： 24,196 字节

感染系统： Windows98以上版本

开发工具： Microsoft Visual C++ 6.0 SPx Method 1

加壳类型： WinUpack 0.39 final -> By Dwing

该病毒为蠕虫木马类，病毒运行获取系统进程，查找进程中是否存在AVP.exe（卡巴斯基杀毒软件），如找到该进程则把当前系统时间修改为2001年，目的使卡巴主动失效，创建注册表病毒服务项、映像劫持多款安全软件，目的使系统安全性降低，遍历System32目录查找\\s*st.exe的文件，找到svchost.exe文件后，创建一个进程并调用ReadProcessMemory函数读写该进程内存，调用ZwUnmapViewOfSection获取当前进程映射的基址，然后调用WriteProcessMemory函数对内存地址写入病毒数据，连接网络读取列表下载大量恶意文件并运行，给用户清除病毒带来极大的不便。

行为分析

本地行为：

1、病毒运行获取系统进程，查找进程中是否存在AVP.exe（卡巴斯基杀毒软件），如找到该进程则把当前系统时间修改为2001年，目的使卡巴主动失效。

2、创建注册表病毒服务项：

[HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001

\\Enum\\Root\\LEGACY_MHFP\\0000\\Service]

注册表值: "mhfp"

类型： REG_SZ

值："Mhfp"

描述: 服务描述

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet

\\Services\\Mhfp\\Description]

注册表值: "DisplayName"

类型： REG_SZ

值："Mhfp"

描述: 服务描述

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet

\\Services\\Mhfp\\DisplayName]

注册表值: "DisplayName"

类型： REG_SZ

值：" Mhfp"

描述: 服务名称

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet

\\Services\\Mhfp\\ErrorControl]

注册表值: "ErrorControl"

类型： REG_SZ

值："DWORD: 1 (0x1)"

描述: 服务控制

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet

\\Services\\Mhfp\\ImagePath]

注册表值: "ImagePath"

类型： REG_SZ

值：" \\??\\C:\\DOCUME~1\\a\\LOCALS~1\\Temp\\~wxp2ins.234.tmp"

描述: 服务映像文件的启动路径

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet

\\Services\\Mhfp\\Start]

注册表值: "Start"

类型： REG_SZ

值："DWORD: 3 (0x3)"

描述: 服务的启动方式，手动

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet

\\Services\\Mhfp\\Type]

注册表值: "Type"

类型： REG_SZ

值："DWORD: 3 (0x3)"

描述: 服务类型

3、映像劫持多款安全软件：

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft

\\Windows NT\\CurrentVersion

\\Image File Execution Options\\被映像劫持的文件名称]

新建键值: "Debugger"

类型： REG_SZ

字符串： “C:\\WINDOWS\\system32\\svchost.exe”

劫持文件名列表：

360rpt.exe、360safebox.exe、360tray.exe、adam.exe、

AgentSvr.exe、AppSvc32.exe、ati2evxx.exe、autoruns.exe、

avconsol.exe、avgrssvc.exe、AvMonitor.exe、avp.com、avp.exe、

CCenter.exe、ccSvcHst.exe、egui.exe、esafe.exe、FileDsty.exe、

FTCleanerShell.exe、HijackThis.exe、IceSword.exe、idag.exe、

Iparmor.exe、isPwdSvc.exe、kabaload.exe、kaccore.exe、

KaScrScn.SCR、KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、

KAVPF.exe、KAVPFW.exe、KAVSetup.exe、KAVStart.exe、kavsvc.exe、

KAVsvcUI.exe、KISLnchr.exe、kissvc.exe、KMailMon.exe、

KMFilter.exe、KPFW32.exe、kpfwsvc.exe、KPPMain.exe、KRegEx.exe、

KRepair.com、KsLoader.exe、KVCenter.kxp、KvDetect.exe、

KVFW.EXE、KvfwMcl.exe、KVMonXP_1.kxp、kvol.exe、kvolself.exe、

KvReport.kxp、KVScan.kxp、KVsrvXP.exe、KVStub.kxp、kvupload.exe、

KVwsc.exe、kwatch.exe、KWatch9x.exe、KWatchX.exe、MagicSet.exe、

mcconsol.exe、mmqczj.exe、mmsk.exe、navapsvc.exe、Navapw32.exe、

nod32krn.exe、NPFMntor.exe、OllyDBG.EXE、OllyICE.EXE、PFW.exe、

PFWLiveUpdate.exe、procexp.exe、QHSET.exe、qqdoctor.exe、qqkav.exe、

qqsc.exe、Ras.exe、rav.exe、rav.exe、RAVmon.exe、RAVmonD.exe、

ravstub.exe、ravtask.exe、ravtimer.exe、ravtool.exe、RegClean.exe、

regtool.exe、rfwmain.exe、FYFireWall.exe、rfwproxy.exe、

FYFireWall.exe、rfwsrv.exe、rfwstub.exe、rising.exe、Rsaupd.exe、

runiep.exe、safebank.exe、safeboxtray.exe、safelive.exe、

scan32.exe、shcfg32.exe、SmartUp.exe、SREng.EXE、symlcsvc.exe、

SysSafe.exe、TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、

UIHost.exe、UIHost.exe、UmxAgent.exe、UmxAttachment.exe、

UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、UpLive.exe、vsstat.exe、

webscanx.exe、WinDbg.exe、WoptiClean.exe

4、遍历System32目录查找\\s*st.exe的文件，找到svchost.exe文件后，创建一个进程并调用ReadProcessMemory函数读写该进程内存，调用ZwUnmapViewOfSection获取当前进程映射的基址，然后调用WriteProcessMemory函数对内存地址写入病毒数据，连接网络读取列表下载大量恶意文件并运行。

网络行为:

1、协议：TCP

端口：80

连接服务器名：http://www.ip***.cn/uc.txt

IP地址：121.10.107.**

描述：连接服务器读取TXT列表内容下载病毒，读取的列表内容：

[5]

20080512 http://www.ibmle****.net.cn/down/e1.exe

20080512 http://www.ibmle****.net.cn/down/r2.exe

20080512 http://www.ibmle****.net.cn/down/a3.exe

20080512 http://www.ibmle****.net.cn/down/j4.exe

20080512 http://www.ibmle****.net.cn/down/y5.exe

20080512 http://www.ibmle****.net.cn/down/m6.exe

20080512 http://www.ibmle****.net.cn/down/r7.exe

20080512 http://www.ibmle****.net.cn/down/i8.exe

20080512 http://www.ibmle****.net.cn/down/x9.exe

20080512 http://www.ibmle****.net.cn/down/l10.exe

20080512 http://www.li****.cn/down/b11.exe

20080512 http://www.li****.cn/down/z12.exe

20080512 http://www.li****.cn/down/m13.exe

20080512 http://www.li****.cn/down/n14.exe

20080512 http://www.li****.cn/down/o15.exe

20080512 http://www.li****.cn/down/g16.exe

20080512 http://www.li****.cn/down/j17.exe

20080512 http://www.li****.cn/down/l18.exe

20080512 http://www.li****.cn/down/c19.exe

20080512 http://www.li****.cn/down/t20.exe

20080512 http://www.mo****.cn/down/p21.exe

20080512 http://www.mo****.cn/down/x22.exe

20080512 http://www.mo****.cn/down/m23.exe

20080512 http://www.mo****.cn/down/o24.exe

20080512 http://www.mo****.cn/down/b25.exe

20080512 http://www.mo****.cn/down/e26.exe

20080512 http://www.mo****.cn/down/v27.exe

20080512 http://www.mo****.cn/down/m28.exe

20080512 http://www.mo****.cn/down/u29.exe

20080512 http://www.mo****.cn/down/h30.exe

20080512 http://www.mo****.cn/down/b31.exe

20080512 http://www.mo****.cn/down/c32.exe

20080512 http://www.mo****.cn/down/u33.exe

20080512 http://www.mo****.cn/down/z34.exe

注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的位置。

%Windir% WINDODWS所在目录

%DriveLetter%　逻辑驱动器根目录

%ProgramFiles%　系统程序默认安装目录

%HomeDrive% 当前启动的系统的所在分区

%Documents and Settings% 当前用户文档根目录

%Temp% \\Documents and Settings\\当前用户\\Local Settings\\Temp

%System32% 系统的 System32文件夹

Windows2000/NT中默认的安装路径是C:\\Winnt\\System32

windows95/98/me中默认的安装路径是C:\\Windows\\System

windowsXP中默认的安装路径是C:\\Windows\\System32

清除方案：

1、使用安天防线可彻底清除此病毒(推荐)，安天防线下载地址：http://www.antiyfx.com/download.htm 。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1)使用ATOOL“进程管理”关闭病毒相关进程，ATOOL下载地址：http://www.antiy.com/freetools/atool.htm 。

(2)删除病毒服务注册表项：

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet

\\Enum\\Root\\LEGACY_MHFP\\0000\\Service]

键值：" Mhfp"

删除Mhfp键值

[HKEY_LOCAL_MACHINE\\SYSTEM

\\CurrentControlSet\\Services]

键值："Mhfp"

删除Mhfp键值

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft

\\Windows NT\\CurrentVersion]

键值："Image File Execution Options"

删除注册表Image File Execution Options键值

词条	Worm.Win32.Downloader.nm
释义	病毒标签病毒描述行为分析清除方案：病毒标签毒名称： Worm.Win32.Downloader.nm 病毒类型：蠕虫文件 MD5： 659D70B13E9D117DEA8F3DBBC8FC103C 公开范围：完全公开危害等级： 4 文件长度： 24,196 字节感染系统： Windows98以上版本开发工具： Microsoft Visual C++ 6.0 SPx Method 1 加壳类型： WinUpack 0.39 final -> By Dwing 病毒描述该病毒为蠕虫木马类，病毒运行获取系统进程，查找进程中是否存在AVP.exe（卡巴斯基杀毒软件），如找到该进程则把当前系统时间修改为2001年，目的使卡巴主动失效，创建注册表病毒服务项、映像劫持多款安全软件，目的使系统安全性降低，遍历System32目录查找\\sst.exe的文件，找到svchost.exe文件后，创建一个进程并调用ReadProcessMemory函数读写该进程内存，调用ZwUnmapViewOfSection获取当前进程映射的基址，然后调用WriteProcessMemory函数对内存地址写入病毒数据，连接网络读取列表下载大量恶意文件并运行，给用户清除病毒带来极大的不便。行为分析本地行为： 1、病毒运行获取系统进程，查找进程中是否存在AVP.exe（卡巴斯基杀毒软件），如找到该进程则把当前系统时间修改为2001年，目的使卡巴主动失效。 2、创建注册表病毒服务项： [HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001 \\Enum\\Root\\LEGACY_MHFP\\0000\\Service] 注册表值: "mhfp" 类型： REG_SZ 值："Mhfp" 描述: 服务描述 [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet \\Services\\Mhfp\\Description] 注册表值: "DisplayName" 类型： REG_SZ 值："Mhfp" 描述: 服务描述 [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet \\Services\\Mhfp\\DisplayName] 注册表值: "DisplayName" 类型： REG_SZ 值：" Mhfp" 描述: 服务名称 [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet \\Services\\Mhfp\\ErrorControl] 注册表值: "ErrorControl" 类型： REG_SZ 值："DWORD: 1 (0x1)" 描述: 服务控制 [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet \\Services\\Mhfp\\ImagePath] 注册表值: "ImagePath" 类型： REG_SZ 值：" \\??\\C:\\DOCUME~1\\a\\LOCALS~1\\Temp\\~wxp2ins.234.tmp" 描述: 服务映像文件的启动路径 [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet \\Services\\Mhfp\\Start] 注册表值: "Start" 类型： REG_SZ 值："DWORD: 3 (0x3)" 描述: 服务的启动方式，手动 [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet \\Services\\Mhfp\\Type] 注册表值: "Type" 类型： REG_SZ 值："DWORD: 3 (0x3)" 描述: 服务类型 3、映像劫持多款安全软件： [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows NT\\CurrentVersion \\Image File Execution Options\\被映像劫持的文件名称] 新建键值: "Debugger" 类型： REG_SZ 字符串： “C:\\WINDOWS\\system32\\svchost.exe” 劫持文件名列表： 360rpt.exe、360safebox.exe、360tray.exe、adam.exe、 AgentSvr.exe、AppSvc32.exe、ati2evxx.exe、autoruns.exe、 avconsol.exe、avgrssvc.exe、AvMonitor.exe、avp.com、avp.exe、 CCenter.exe、ccSvcHst.exe、egui.exe、esafe.exe、FileDsty.exe、 FTCleanerShell.exe、HijackThis.exe、IceSword.exe、idag.exe、 Iparmor.exe、isPwdSvc.exe、kabaload.exe、kaccore.exe、 KaScrScn.SCR、KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、 KAVPF.exe、KAVPFW.exe、KAVSetup.exe、KAVStart.exe、kavsvc.exe、 KAVsvcUI.exe、KISLnchr.exe、kissvc.exe、KMailMon.exe、 KMFilter.exe、KPFW32.exe、kpfwsvc.exe、KPPMain.exe、KRegEx.exe、 KRepair.com、KsLoader.exe、KVCenter.kxp、KvDetect.exe、 KVFW.EXE、KvfwMcl.exe、KVMonXP_1.kxp、kvol.exe、kvolself.exe、 KvReport.kxp、KVScan.kxp、KVsrvXP.exe、KVStub.kxp、kvupload.exe、 KVwsc.exe、kwatch.exe、KWatch9x.exe、KWatchX.exe、MagicSet.exe、 mcconsol.exe、mmqczj.exe、mmsk.exe、navapsvc.exe、Navapw32.exe、 nod32krn.exe、NPFMntor.exe、OllyDBG.EXE、OllyICE.EXE、PFW.exe、 PFWLiveUpdate.exe、procexp.exe、QHSET.exe、qqdoctor.exe、qqkav.exe、 qqsc.exe、Ras.exe、rav.exe、rav.exe、RAVmon.exe、RAVmonD.exe、 ravstub.exe、ravtask.exe、ravtimer.exe、ravtool.exe、RegClean.exe、 regtool.exe、rfwmain.exe、FYFireWall.exe、rfwproxy.exe、 FYFireWall.exe、rfwsrv.exe、rfwstub.exe、rising.exe、Rsaupd.exe、 runiep.exe、safebank.exe、safeboxtray.exe、safelive.exe、 scan32.exe、shcfg32.exe、SmartUp.exe、SREng.EXE、symlcsvc.exe、 SysSafe.exe、TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、 UIHost.exe、UIHost.exe、UmxAgent.exe、UmxAttachment.exe、 UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、UpLive.exe、vsstat.exe、 webscanx.exe、WinDbg.exe、WoptiClean.exe 4、遍历System32目录查找\\sst.exe的文件，找到svchost.exe文件后，创建一个进程并调用ReadProcessMemory函数读写该进程内存，调用ZwUnmapViewOfSection获取当前进程映射的基址，然后调用WriteProcessMemory函数对内存地址写入病毒数据，连接网络读取列表下载大量恶意文件并运行。网络行为: 1、协议：TCP 端口：80 连接服务器名：http://www.ip*.cn/uc.txt IP地址：121.10.107. 描述：连接服务器读取TXT列表内容下载病毒，读取的列表内容： [5] 20080512 http://www.ibmle**.net.cn/down/e1.exe 20080512 http://www.ibmle.net.cn/down/r2.exe 20080512 http://www.ibmle.net.cn/down/a3.exe 20080512 http://www.ibmle.net.cn/down/j4.exe 20080512 http://www.ibmle.net.cn/down/y5.exe 20080512 http://www.ibmle.net.cn/down/m6.exe 20080512 http://www.ibmle.net.cn/down/r7.exe 20080512 http://www.ibmle.net.cn/down/i8.exe 20080512 http://www.ibmle.net.cn/down/x9.exe 20080512 http://www.ibmle.net.cn/down/l10.exe 20080512 http://www.li.cn/down/b11.exe 20080512 http://www.li.cn/down/z12.exe 20080512 http://www.li.cn/down/m13.exe 20080512 http://www.li.cn/down/n14.exe 20080512 http://www.li.cn/down/o15.exe 20080512 http://www.li.cn/down/g16.exe 20080512 http://www.li.cn/down/j17.exe 20080512 http://www.li.cn/down/l18.exe 20080512 http://www.li.cn/down/c19.exe 20080512 http://www.li.cn/down/t20.exe 20080512 http://www.mo.cn/down/p21.exe 20080512 http://www.mo.cn/down/x22.exe 20080512 http://www.mo.cn/down/m23.exe 20080512 http://www.mo.cn/down/o24.exe 20080512 http://www.mo.cn/down/b25.exe 20080512 http://www.mo.cn/down/e26.exe 20080512 http://www.mo.cn/down/v27.exe 20080512 http://www.mo.cn/down/m28.exe 20080512 http://www.mo.cn/down/u29.exe 20080512 http://www.mo.cn/down/h30.exe 20080512 http://www.mo.cn/down/b31.exe 20080512 http://www.mo.cn/down/c32.exe 20080512 http://www.mo.cn/down/u33.exe 20080512 http://www.mo**.cn/down/z34.exe 注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的位置。 %Windir% WINDODWS所在目录 %DriveLetter%　逻辑驱动器根目录 %ProgramFiles%　系统程序默认安装目录 %HomeDrive% 当前启动的系统的所在分区 %Documents and Settings% 当前用户文档根目录 %Temp% \\Documents and Settings\\当前用户\\Local Settings\\Temp %System32% 系统的 System32文件夹 Windows2000/NT中默认的安装路径是C:\\Winnt\\System32 windows95/98/me中默认的安装路径是C:\\Windows\\System windowsXP中默认的安装路径是C:\\Windows\\System32 清除方案： 1、使用安天防线可彻底清除此病毒(推荐)，安天防线下载地址：http://www.antiyfx.com/download.htm 。 2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。 (1)使用ATOOL“进程管理”关闭病毒相关进程，ATOOL下载地址：http://www.antiy.com/freetools/atool.htm 。 (2)删除病毒服务注册表项： [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet \\Enum\\Root\\LEGACY_MHFP\\0000\\Service] 键值：" Mhfp" 删除Mhfp键值 [HKEY_LOCAL_MACHINE\\SYSTEM \\CurrentControlSet\\Services] 键值："Mhfp" 删除Mhfp键值 [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows NT\\CurrentVersion] 键值："Image File Execution Options" 删除注册表Image File Execution Options键值
随便看	拟鸡冠菜属拟鸡毛菜拟棘鲷拟寄生物拟价法拟坚挺马先蒿拟尖头鮊拟尖叶扭口藓拟箭石拟渐尖毛蕨拟交感神经药物拟角状耳蕨拟角蝰拟结婚通知书拟金草拟金发藓拟金粉蕨拟金粉蕨属拟精神药物拟经拟静力实验拟巨颈科拟掘足拟康定乌头拟客栖

病毒标签

病毒描述

行为分析

清除方案：