P2P-Worm.Win32.Niklas.y:病毒簡介,行為分析,複製原病毒體到

該病毒屬蠕蟲類病毒，主要通過p2p軟體傳播，如：Grokster、BearShare、Kazaa等，病毒運行後複製原病毒檔案到%windir%下，病毒通過修改並查找註冊表檔案，達到將原病毒副本添加到啟動項並查找出以安裝的p2p軟體，從而複製原病毒副本到p2p軟體目錄下，嘗試傳播。病毒也會通過遍歷系統中某些目錄，並嘗試複製原病毒副本到這些目錄中。病毒運行後還會遍歷系統當前進程，嘗試終止某些反病毒及安全軟體的進程，並搜尋註冊表檔案，刪除其中某些反病毒及安全軟體的鍵值。

基本介紹

外文名：P2P-Worm.Win32.Niklas.y
公開範圍：完全公開
檔案長度：12,288 位元組
感染系統：Windows 98 及以上版本
開發工具：Borland Delphi 6.0 - 7.0

病毒簡介,行為分析,複製原病毒體到,操作,複製病毒,病毒運行,清除方案,

病毒簡介

檔案 MD5： 79F9937933F4362783B9FB90129AA281

公開範圍：完全公開

危害等級：中

檔案長度： 12,288 位元組

感染系統： Windows 98 及以上版本

開發工具： Borland Delphi 6.0 - 7.0

加殼類型： UPX

命名對照： Symentec[W32.HLLW.Niklas]

Mcafee[無]

行為分析

複製原病毒體到

%windir%\melis.exe

%windir%\naz.scr

%windir%\temp\project32\<random>.exe

操作

對註冊表檔案進行新建、查找、刪除操作：

新建如下鍵值：

HKEY_LOCAL_METHINE\SOFTWARE\Microsoft

\Windows\CurrentVersion\Run

鍵值：字串：MELIS = "%Windir%\melis.exe”

HKEY_CURRENT_USER\Software\Kazaa\LocalContent\

鍵值：字串：DisableSharing" = "0"

查找以下p2p軟體的相關鍵值，若存在則複製原病毒體到這個資料夾內，等待傳播：

HKEY_CURRENT_USER\Software\Kazaa\Transfer\DlDir0

HKEY_CURRENT_USER\Software\Kazaa\LocalContent

\DownloadDir

HKEY_CURRENT_USER\Software\iMesh\Client

\LocalContent\DownloadDir

HKEY_CURRENT_USER\Software\Shareaza\Shareaza

\Transfers\DownloadsPath

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer

\Download Directory

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\Explorer\Shell Folders\Personal

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\Explorer\Shell Folders\Desktop

HKEY_LOCAL_METHINE\SOFTWARE\LimeWire\InstallDir

HKEY_LOCAL_METHINE\Software\Mirabilis\ICQ

\DefaultPrefs\Receive Path

刪除某些反病毒及安全軟體相應的註冊表鍵值：

註冊表項：

HKEY_CURRENT_USER\Software\Microsoft\Windows

\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows

\CurrentVersion\RunServices

鍵值：

AVPCC

AVPCC Service

BlackIce Utility

F-StopW

McAfee Firewall

McAfee Winguage

McAfee.InstantUpdate.Monitor

McAfeeVirusScanService

McAfeeWebscanX

McAgentExe

McUpdateExe

NAV Agent

NAV Configuration Wizard

NAV DefAlert

NB Common Dialog Enhancements

NB Start Menu

……

複製病毒

遍歷以下目錄，並嘗試複製原病毒體到該目錄中：

%ProgramFiles%\Grokster\My Grokster

%ProgramFiles%\WinMX\My Shared Folder

%ProgramFiles%\ICQ\Shared Files

%ProgramFiles%\Kazaa Lite\My Shared Folder

%ProgramFiles%\KMD\My Shared Folder

%ProgramFiles%\LimeWire\Shared

%ProgramFiles%\BearShare\Shared

%ProgramFiles%\Rapigator\Share

%ProgramFiles%\mIRC\Download

……

病毒運行

病毒運行後還會遍歷系統當前進程，嘗試終止某些反病毒及安全軟體的進程：

AVSCHED32.EXE

AVWIN95.EXE

AVWUPD32.EXE

BLACKD.EXE

BLACKICE.EXE

CFIADMIN.EXE

CFIAUDIT.EXE

CFINET.EXE

CFINET32.EXE

CLAW95.EXE

LOCKDOWN2000.EXE

LOOKOUT.EXE

LUALL.EXE

MOOLIVE.EXE

MPFTRAY.EXE

N32SCANW.EXE

……

註：% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32，windows95/98/me中默認的安裝路徑是C:\Windows\System，windowsXP中默認的安裝路徑是C:\Windows\System32。

清除方案

1、使用安天木馬防線可徹底清除此病毒(推薦)。

2、手工清除請按照行為分析刪除對應檔案，恢復相關係統設定。

(1) 使用安天木馬防線“進程管理”關閉病毒進程

(2) 刪除病毒檔案

%windir%\melis.exe

%windir%\naz.scr

%windir%\temp\project32\<random>.exe

(3) 恢復病毒修改的註冊表項目，刪除病毒添加的註冊表項

HKEY_LOCAL_METHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run