Worm.Sumom.a:病毒行為,生成檔案：,修改註冊表,建立一個互斥量,傳播方

Worm.Sumom.a這是一個蠕蟲病毒，病毒是通過MSN，檔案共享和CD傳播的，病毒具有反調試功能。

基本介紹

外文名：Worm.Sumom.a
威脅級別：二星
病毒類型：蠕蟲
影響系統：Win9x / WinNT

病毒行為,生成檔案：,修改註冊表,建立一個互斥量,傳播方式,病毒會終止以下進程,其他,

病毒行為

這是一個蠕蟲病毒，病毒是通過MSN，檔案共享和CD傳播的，病毒具有反調試功能。

生成檔案：

%System%\formatsys.exe

%System%\serbw.exe

%Windows%\msmbw.exe

\lspt.exe

修改註冊表

起始項，使病毒開機運行：

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

HKCU\Microsoft\Windows\CurruntVersion\Run\

HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer

鍵名可能是以下任意一個：

ltwob

serpe

avnort

鍵值可能是：

%System%\formatsys.exe

%System%\serbw.exe

%Windows%\msmbw.exe

建立一個互斥量

'-F-u-c-k-'-Y-o-u-'，保證只有一個病毒程式在運行。

傳播方式

1.通過MSN傳播：

蠕蟲會利用之前在根目錄下生成檔案通過MSN進行傳播，可能是以下隨機的一個檔案名稱：

Crazy frog gets killed by train!.pif

Annoying crazy frog getting killed.pif

See my lesbian friends.pif

LOL that ur pic!.pif

My new photo!.pif

Me on holiday!.pif

The Cat And The Fan piccy.pif

How a Blonde Eats a Banana...pif

Mona Lisa Wants Her Smile Back.pif

Topless in Mini Skirt! lol.pif

Fat Elvis! lol.pif

Jennifer Lopez.scr

2.通過網路共享傳播

病毒會嘗試通過網路共享進行傳播，可能將病毒複製到以下已分享檔案夾：

\My Shared Folder

\Program Files\eMule\Incoming

\Documents and Settings\\Shared

病毒複製到以上資料夾時，會使用以下檔案名稱：

Messenger Plus! 3.50.exe

MSN all version polygamy.exe

MSN nudge bomb.exe

3.通過CD Rom傳播

病毒會把自己複製到以下位置：

\Documents and Settings\\local Settings\ApplicationData\Microsoft\CD Burning\autorun.exe

這個資料夾保存的檔案會被寫入CD中。

在相同的資料夾中也會生成"autorun.inf"檔案，它可以使以上檔案自動運行。在進行光碟刻錄其他檔案的時候就會把病毒就會刻錄入CD中。

4.下載檔案

蠕蟲會從http://frog.0catch.com/BNP.jpg下載檔案，保存為"\British National Party.jpg"。每月的1, 7, 10, 19, 25, 26, 30日，顯示這個圖片。

病毒會終止以下進程

avengine.exe

apvxdwin.exe

atupdater.exe

aupdate.exe

autodown.exe

autotrace.exe

autoupdate.exe

avconsol.exe

avsynmgr.exe

avwupd32.exe

avxquar.exe

bawindo.exe

blackd.exe

ccapp.exe

ccevtmgr.exe

ccproxy.exe

ccpxysvc.exe

cfiaudit.exe

defwatch.exe

drwebupw.exe

escanh95.exe

escanhnt.exe

nisum.exe

firewall.exe

frameworkservice.exe

icssuppnt.exe

icsupp95.exe

luall.exe

lucoms~1.exe

mcagent.exe

mcshield.exe

mcupdate.exe

mcvsescn.exe

mcvsrte.exe

mcvsshld.exe

navapsvc.exe

navapw32.exe

nopdb.exe

nprotect.exe

nupgrade.exe

outpost.exe

pavfires.exe

pavproxy.exe

pavsrv50.exe

rtvscan.exe

rulaunch.exe

savscan.exe

shstat.exe

sndsrvc.exe

symlcsvc.exe

Update.exe

updaterui.exe

vshwin32.exe

vsstat.exe

vstskmgr.exe

cmd.exe

msconfig.exe

msdev.exe

其他

1.反調試，針對一下工具：

peid

petools

reshacker

w32dasm

winhex

2.病毒會嘗試刪除用戶機器上的Worm.Ariss.c病毒.

3.修改host檔案,禁止用戶對以下網站的訪問：

www.symantec.com

www.sophos.com

www.mcafee.com

www.viruslist.com

www.f-secure.com

www.avp.com

www.kaspersky.com

www.networkassociates.com

www.ca.com

www.my-etrust.com

www.nai.com

www.trendmicro.com

securityresponse.symantec.com

www.grisoft.com

symantec.com

sophos.com

mcafee.com

liveupdate.symantecliveupdate.com

ca.com

download.mcafee.com

Worm.Sumom.a