蠕蟲病毒Win32.Blackmal.G

病毒名稱：蠕蟲病毒Win32.Blackmal.G

其它名稱：W32.Blackmal.E@mm (Symantec), W32/Mywife!ITW#10 (WildList), Win32/Mywife.L@mm (MS OneCare), W32/Nyxem-H (Sophos), Email-Worm.Win32.Nyxem.e (Kaspersky)

發展歷程：從1988年莫里斯從實驗室放出第一個蠕蟲病毒以來，計算機蠕蟲病毒以其快速、多樣化的傳播方式不斷給網路世界帶來災害。特別是1999年以來，高危蠕蟲病毒的不斷出現，使世界經濟蒙受了輕則幾十億，重則幾百億美元的巨大損失。蠕早蟲病毒專區主要就是為了告訴大家蠕蟲病毒的特徵、傳播過程、以及如何防禦來解析蠕蟲病毒，讓大家從根本上來了解蠕蟲病毒……

病毒屬性：蠕蟲病毒

感染方式

運行時Blackmal.G 複製Rundll16.exe 到%Windows% 目錄，並運行這個檔案。

蠕蟲繼續使用以下檔案名稱複製到%System%目錄：

Winzip.exe

Update.exe

並修改以下註冊表，為了在每次系統啟動時運行"scanregw.exe"：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ScanRegistry = "scanregw.exe /scan"

這個註冊表鍵值能夠重複生成。

蠕蟲還會在%System%目錄生成一個DLL檔案"MSWINSCK.OCX" 。

之後運行Rundll16.exe，使被感染機器上的滑鼠和鍵盤失效。當系統重啟時，Blackmal.G 作為"scanregw.exe /scan"被運行，生成兩個蠕蟲的實例%Windows%\Winzip.exe 和 %Windows%\Update.exe。每個都會查找另一個檔案和scanregw.exe的存在，任一檔案被刪除都會再次生成。

註：%System%和%Windows%都是可變路徑，病毒通過查詢作業系統來決定當前這些資料夾的位置。System在Windows2000/NT中默認的安裝路徑是C:\Winnt\System32，windows95/98/me中默認的安裝路徑是C:\Windows\System，windowsXP中默認的安裝路徑是C:\Windows\System32。Windows在Windows2000/NT中默認的安裝路徑是C:\Winnt，windows95/98/me中默認的安裝路徑是C:\Windows，windowsXP中默認的安裝路徑是C:\Windows。

蠕蟲使用Winzip圖示：

Blackmal.G嘗試連線，並複製到以下系統管理級共享：

\Admin$\WINZIP_TMP.exe

\c$\WINZIP_TMP.exe

隨後蠕蟲在預定任務列表'%Windows%\Tasks'中添加任務，在蠕蟲第一次運行的當天的那個小時的第59分鐘運行這些檔案。

例如，如果蠕蟲在下午4點運行，那么它將預定一個任務在下午4：59運行。

它還會複製到\c$\Documents and Settings\All Users\Start Menu\Programs\Startup\WinZip Quick Pick.exe ，並刪除 \c$\Documents and Settings\All Users\Start Menu\Programs\Startup\WinZip Quick Pick.lnk。

Blackmal.G嘗試通過郵件傳送病毒，郵件地址從本地機器獲取，郵件的主題、內容、附屬檔案都是可變的。蠕蟲從本地機器中的以下擴展名的檔案獲取郵件地址：

.HTM

.DBX

.EML

.MSG

.OFT

.NWS

.VCF

.MBX

.IMH

.TXT

.MSF

蠕蟲不傳送名稱中包含以下字元的地址：

@YAHOOGROUPS

BLOCKSENDER

SCRIBE

YAHOOGROUPS

TREND

PANDA

SECUR

SPAM

ANTI

CILLIN

CA.COM

AVG

GROUPS.MSN

NOMAIL.YAHOO.COM

EEYE

MICROSOFT

HOTMAIL

MSN

MYWAY

郵件主題可能是：

Re: Sex Video

Re:

Fw: Picturs

Fw: Funny :)

Fwd: Photo

Fwd: image.jpg

Fw: Sexy

Fw:

Fw: SeX.mpg

Fwd: Crazy illegal Sex!

Fw: DSC-00465.jpg

eBook.pdf

Hello

Fw: Real show

the file

Word file

School girl fantasies gone bad

Hot XXX Yahoo Groups

A Great Video

F**kin Kama Sutra pics

ready to be F**KED ;)

Arab sex DSC-00465.jpg

give me a kiss

*Hot Movie*

VIDEOS! FREE! (US$ 0,00)

Part 1 of 6 Video clipe

Miss Lebanon 2006

You Must View This Videoclip!

郵件內容可能是：

What?

Note: forwarded message attached.

forwarded message attached.

i attached the details.

Thank you

hi

i send the details

bye

how are you?

i send the details.

OK ?

Please see the file.

i just any one see my photos.

The Best Videoclip Ever

一些郵件內容包含空的圖像檔案，可能帶有以下檔案名稱：

DSC-00465.jpg

DSC-00466.jpg

DSC-00467.jpg

photo

photo2

photo3

郵件附屬檔案：

蠕蟲附加在郵件中進行傳送。

附屬檔案名稱可能是：

New_Document_file.pif

document.pif

007.pif

eBook.PIF

DSC-00465.Pif

有時附加病毒使用uuencoded 編碼格式。這個檔案需要使用象WinZIP這種工具解碼來運行蠕蟲。以下是蠕蟲附加在附屬檔案中的使用的檔案名稱：

Attachments001.BHX

Atta[001],zip[many spaces].SCR

Attachments00.HQX

Attachments,zip[many spaces].SCR

Attachments[001].B64

Attachments[001],B64[many spaces].sCr

Video_part.mim

New Video,zip[many spaces].sCr

Word_Document.hqx

Word.zip[many spaces].sCR

SeX.mim

SeX,zip[many spaces].scR

Sex.mim

WinZip.zip[many spaces].sCR

Word_Document.uu

Word XP.zip[many spaces].sCR

Original Message.B64

ATT01.zip[many spaces].sCR

3.92315089702606E02.UUE

392315089702606E-02,UUE[many spaces].scR

Photos

Photos,zip[many spaces].sCR

Sweet_09

Adults_9,zip[many spaces].sCR

Clipe

Clipe,zip[many spaces].sCr

WinZip.BHX

WinZip.zip[many spaces].sCR

通過註冊表修改系統設定

蠕蟲從以下註冊表位置刪除以下鍵值（如果這些鍵值存在）：

Keys:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

Values:

NPROTECT

ccApp

ScriptBlocking

MCUpdateExe

VirusScan Online

MCAgentExe

VSOCheckTask

McRegWiz

CleanUp

MPFExe

MSKAGENTEXE

MSKDetectorExe

McVsRte

PCClient.exe

PCCIOMON.exe

pccguide.exe

Pop3trap.exe

PccPfw

PCCIOMON.exe

tmproxy

McAfeeVirusScanService

NAV Agent

PCCClient.exe

SSDPSRV

rtvscn95

vptray

ScanInicio

APVXDWIN

KAVPersonal50

kaspersky

TM Outbreak Agent

AVG7_Run

AVG_CC

Avgserv9.exe

AVGW

AVG7_CC

AVG7_EMC

Vet Alert

VetTray

OfficeScanNT Monitor

avast!

DownloadAccelerator

BearShare

蠕蟲還會設定以下鍵值，為了隱藏檔案，不在資源管理器中看到（因此能夠隱藏病毒的存在）：

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = 0

另外，蠕蟲刪除HKCU\SOFTWARE\Nico Mak Computing\WinZip\filemenu，隨後生成這個鍵值，並添加不同的鍵值。

如果HKCU\Control Panel\DNS鍵值存在並被設定為1，蠕蟲就會寫入不同的值到HKCU\Control Panel\Bmale 。

Blackmal.G從被感染機器上刪除以下檔案：

%ProgramFiles%\LimeWire\LimeWire 4.2.6\LimeWire.jar

蠕蟲刪除以下資料夾中的所有檔案：

%Program Files%\Symantec\LiveUpdate

%Program Files%\Symantec\Common Files\Symantec Shared

%Program Files%\McAfee.com\Agent

%Program Files%\McAfee.com\shared

蠕蟲刪除以下目錄中所有的.DLL為擴展名的檔案：

%Program Files%\DAP

%Program Files%\BearShare

%Program Files%\Grisoft\AVG7

%Program Files%\TREND MICRO\OfficeScan

%Program Files%\Morpheus

蠕蟲還會刪除以下目錄中所有的.EXE檔案：

\Trend Micro\PC-cillin 2002

\Trend Micro\PC-cillin 2003

\Trend Micro\Internet Security

\Norton AntiVirus

\Alwil Software\Avast

\McAfee.com\VSO

\NavNT

還會刪除以下位置中以.EXE和.PPL為擴展名的檔案：

%Program Files%\Kaspersky Lab\Kaspersky Anti-Virus Personal\

註：%Program Files%是一個可變目錄，病毒通過查詢作業系統來決定當前Program Files資料夾的位置。一般在以下位置C:\Program Files。

蠕蟲還會刪除C$中以下資料夾中的所有檔案：

\C$\Program Files\Norton AntiVirus

\C$\Program Files\Common Files\symantec shared

\C$\Program Files\Symantec\LiveUpdate

\C$\Program Files\McAfee.com\VSO

\C$\Program Files\McAfee.com\Agent

\C$\Program Files\McAfee.com\shared

\C$\Program Files\Trend Micro\PC-cillin 2002

\C$\Program Files\Trend Micro\PC-cillin 2003

\C$\Program Files\Trend Micro\Internet Security

\C$\Program Files\NavNT

\C$\Program Files\Panda Software\Panda Antivirus Platinum

\C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal

\C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro

\C$\Program Files\Panda Software\Panda Antivirus 6.0

\C$\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus

另外，Blackmal.G刪除以下註冊表鍵值指向的資料夾中不同檔案（如果這些鍵值在被感染機器上存在）：

它刪除以下鍵值指向的資料夾中的所有檔案：

HKLM\SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal\Folder

它刪除以下鍵值指向的資料夾中的所有的 .exe 和 .ppl 檔案：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe\Path

它刪除以下鍵值指向的資料夾中的所有的 .exe檔案：

HKLM\SOFTWARE\Symantec\InstalledApps\NAV

HKLM\Software\INTEL\LANDesk\VirusProtect6\CurrentVersion\Home Directory

HKLM\SOFTWARE\KasperskyLab\Components\101

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Panda Antivirus 6.0 Platinum\InstallLocation

在每個月的第三天，蠕蟲在本地驅動器上搜尋帶有以下擴展名的檔案：

.doc

.xls

.mdb

.mde

.ppt

.pps

.zip

.rar

.pdf

.psd

.dmp

如果找到這些檔案，它就會使用以下內容替換檔案內容：

DATA Error [47 0F 94 93 F4 K5]

關閉視窗

蠕蟲關閉標題包含以下字元串的視窗：

SYMANTEC

SCAN

KASPERSKY

VIRUS

MCAFEE

TREND MICRO

NORTON

REMOVAL

FIX

如果用戶使用資源管理器生成檔案，Blackmal.G就在被感染機器的根目錄生成病毒副本。例如，如果用戶生成"text.txt"檔案，蠕蟲可能複製病毒到"C:\text.exe"。

同時，當使用資源管理器瀏覽檔案時，如果每個被打開的資料夾存在desktop.ini檔案，蠕蟲就會修改這個檔案，複製WinZip_Tmp.exe到這個資料夾，隨後生成Temp.htt檔案。

為了掩飾病毒的存在，蠕蟲在%System%目錄中生成一個空的ZIP檔案，並打開它。ZIP檔案名稱稱與運行檔案名稱稱一樣，只是擴展名為".zip"。

Blackmal.G可能在系統列顯示一個信息或一個圖示：

蠕蟲還會連線到"webstats.web.rcn.net"站點，大概是記錄一個新的系統被感染。

清除：

KILL安全胄甲Vet 30.3.3170 版本可檢測/清除此病毒。