天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

全面解读“小浩”病毒新变种“卡通耗子”

2008-3-6塞迪网佚名

“小浩”变种Worm.Win32.XiaoHao.b图标为卡通耗子形象,病毒扩展名为exe,主要通过网页木马、文件捆绑、移动存储介质方式传播。

病毒名称

Worm.Win32.XiaoHao.b

捕获时间

2008-04-29

病毒症状

该程序是使用VC编写的蠕虫程序,由微点主动防御软件自动捕获,程序未加壳,长度为19,456字节,图标为图标,病毒扩展名为exe,主要通过网页木马、文件捆绑、移动存储介质方式传播。

病毒分析

该蠕虫程序被执行后,创建名为“HACK”的互斥体,防止系统中有多个病毒进程存在;拷贝自身到目录%systemroot%\system32下,重命名为exloroe.com,修改文件属性为隐藏;将exloroe.com拷贝到目录C:\Documents and Settings\All Users\「开始」菜单\程序\启动下,重命名为word.com;

修改如下注册表键值实现修改.exe文件关联,当用户运行.exe文件时运行病毒本身、修改注册表自启动项以随系统一起启动、限制使用【Internet选项】命令、禁用CMD、禁用Windows自动更新、自动关闭停止相应程序、禁用任务管理器、禁用注册表编辑器、隐藏病毒文件;删除安全模式所对应的注册表键值,使用户不能通过安全模式修复系统;修改系统时间使部分杀毒软件不能正常使用;

枚举磁盘查找所有文件类型判断扩展名为htm、html、asp、aspx、php、jsp的文件时,在文件内插入

<iframe ></iframe>
解密后为http://www.158dm.cn/a1.htm;查找杀毒软件主程序文件

avp.exe、kavscr.exe、Rav.exe、Navapw32.exe、Iparmor.exe、KV*.exe

试图进行感染;之后访问网站,解密后为http://www.***dm.cn/bd.htm;遍历盘符在各分区和移动存储介质中释放病毒文件Xiaohao.com和autorun.inf,使用Windows自动播放功能来传播病毒。

病毒修改的注册表项:

项:HKCR\exefile\shell\open\command\
健值:默认
指向数据:病毒原程序当前所在路径 "%1" %*"

项:HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
健值:exloroe
指向数据:%systemroot%\system32\exloroe.com

项:HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\
健值:NoBrowserOptions
指向数据:01

项:HKCU\Software\Policies\Microsoft\Windows\System\
健值:DisableCMD
指向数据:02

项:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
健值:NoCommon Groups
指向数据:01

项:HKCU\Control Panel\Desktop\
健值:AutoEndTasks
指向数据:01

项:HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\
健值:CheckedValue
指向数据:01

项:HKCU\Software\Microsoft\Windows\Current Version\Policies\Explorer\
健值:NoFolderOptions
指向数据:01

项:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
健值:DisableTaskMgr
指向数据:01

项:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
健值:DisableRegistryTools
指向数据:01

项:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
健值:ShowSuperHidden
指向数据:00

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

autorun.inf文件内容如下:

[Autorun]
open=Xiaohao.com
shell\open=打开(&O)
shell\open\Command=Xiaohao.com
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=Xiaohao.com
shellexecute=Xiaohao.com
shell\Auto\command=Xiaohao.com

感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页木马、文件捆绑、移动存储介质

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理,安装维护:


本文来源:塞迪网 作者:佚名

声明
本文来源地址:0
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com.,本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行