Worm.Win32.Agent.aj

連線http://union.itlearner.com/ip/getip.asp以計算IP的方式統計感染人數---小孤語。我去那網站看了一下,同意小孤的說法。 字串7

基本介紹

  • 外文名:Worm.Win32.Agent.aj
  • 病毒大小:13327 bytes
  • 病毒別名:win32.iuhzu.a(瑞星
  • 加殼方式:NSPack, PE_Patch
病毒介紹,病毒行為,

病毒介紹

樣本MD5:f6cac56e082ed27d232b87911f6d0442
樣本SHA1:5183cf2b9ce262265294b7778e0a2a59cd6ea2b1
編寫語言:Microsoft Visual C++ 6.0 字串7
技術分析: 字串4

病毒行為

運行後複製自身到系統目錄並運行:
%Systemroot%\system32\IME\svchost.exe(創建進程)
同時釋放:
%Systemroot%\system32\2.exe
字串8
%Systemroot%\system32\internt.exe 字串4
%Systemroot%\system32\progmon.exe 字串1
%Systemroot%\Documents and Settings\Administrator\Local Settings\Temp\rs.bat
rs.bat內容:
@echo off
:start
if not exist ""%1"" goto done
del /F ""%1""
del ""%1""
goto start
:done
del /F %t 字串9
創建啟動項:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"internt.exe"="%Systemroot%\system32\internt.exe "
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Program file"="%Systemroot%\system32\progmon.exe "
字串5
創建服務:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alerter COM+]
字串9
顯示名:Alerter COM+
字串9
描述:Alerter COM+ 字串8
執行檔的路徑:%Systemroot%\system32\IME\svchost.exe
字串2
字串7
向分區複製副本,並創建autorun.inf,使得病毒可以通過“自動播放”運行:
X:\setup.exe
X:\autorun.inf 字串7
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
字串6
修改註冊表使“顯示所有檔案和資料夾”設定失效:
字串3
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
字串3
嘗試關閉相關視窗和相關進程: 字串4
Windows 任務管理器 字串1
兔子 字串4
任務 字串2
最佳化 字串5
註冊表 字串3
Process
字串4
進程
字串4
木馬
字串2
天網
字串7
防火牆 字串8
遍歷目錄,感染除以下目錄外所有目錄中的EXE檔案:
C:\dllcache
C:\WINDOWS
C:\WINNT
C:\\drivers
C:\Documents and Settings
C:\System Volume Information
C:\Recycled
C:\WINDOWS\addins
C:\IME
C:\WINDOWS\system
Program Files\Windows NT
Program Files\WindowsUpdate
Program Files\Windows Media Player
Program Files\Outlook Express
Program Files\Internet Explorer
Program Files\NetMeeting
Program Files\ComPlus Applications
Program Files\Messenger
Program Files\Common Files\Microsoft Shared
Program Files\Microsoft Frontpage
Program Files\Movie Maker
Program Files\Internet Explorer\Connection Wizard
但在虛擬機幾次都沒成功,應該是感染的機制問題。採用捆綁感染。由於測試沒成功,就不具體說了。
字串3
病毒還嘗試使用以下用戶名和密碼訪問區域網路內其它計算機,嘗試將自身副本以2.exe的檔案名稱複製過去:
Administrator
Guest
admin
home
NULL
123456
login
love 字串1
連線網路,下載病毒檔案到本機運行:
IP:210.245.162.13(香港新世界電訊)
下載遠程執行工具PsExec,命名為1.exe
%Systemroot%\system32\1.exe
字串9
wgtw[1].exe
釋放DLL:
%Systemroot%\system32\hs3midia.dll
不斷寫刪註冊表,進行IP欺騙
註冊驅動:
%Systemroot%\system32\drivers\ws2ifsl.sys
創建服務:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ws2ifsl] 字串3
顯示名:ws2ifsl 字串8
描述:Windows真接字2.0 Non-行服務提供
字串8
執行檔路徑:%Systemroot%\system32\drivers\ws2ifsl.sys
最後創建批處理刪除自身。
字串6

熱門詞條

聯絡我們