Worm.Bagz.d

2008-02-23 09:24:36来源：互联网阅读 ()

病毒名称: Worm.Bagz.d 类别：蠕虫病毒资料：破坏方法：

一个用VC编写的蠕虫病毒，采用Upx压缩

病毒行为：

病毒运行后将自己复制到％system％目录下，文件名为Rpc32.exe并将自己注册成服务以达到随系统启动的目的。

病毒驻留内存后将做以下动作：

1.修改hosts文件

病毒将在hosts文件里加入以下网站，使之指向127.0.0.1
www3.ca.com，www.viruslist.ru，www.trendmicro.com，www.symantec.com，www.sophos.com
www.networkassociates.com，www.nai.com，
www.my-etrust.com，www.McAfee.com
www.kASPersky.ru，www.f-secure.com，
www.fastclick.net，www.ca.com，www.awaps.net
www.avp.ru，www.avp.com，www.avp.ch，windowsupdate.microsoft.com，viruslist.ru
vil.nai.com.us.mcafee.com，updates.symantec.com，update.symantec.com，symantec.com
support.microsoft.com，spd.atdmt.com，
sophos.com，service1.symantec.com
securityresponse.symantec.com，secure.nai.com，.phx.corporate-ir.net
Office.microsoft.com，.....

2.遍历删除一些特定的系统服务。

病毒将遍历系统的服务，并将服务文件名为以下字串的服务删除。

\pfwadmin.exe，\persfw.exe，\sched.exe.，
\aswupdsv.exe，\aswregsvr.exe，\aswboot.exe，
\ashskpck.exe，\ashskpcc.exe，\ashsimpl.exe.，ashserv.exe，\ashquick.exe.，ashpopwz.exe
\ashmaisv.exe，\ashlogv.exe，\ashdisp.exe，\ashchest.exe，\ashbug.exe，\ashavast.exe
\symnavo.dll，\statushp.dll，\sdstp32i.dll，\sdsok32i.dll，\sdsnd32i.dll，\sdpck32i.dll
\scriptui.dll，\scanmgr.dll，\scandres.dll，\scandlvr.dll，\savscan.exe，\savrtpel.sys
\savrt32.dll，\savrt.sys，\s32navo.dll，
\s32integ.dll，\quaropts.dat，
\quarantine\quar32.dll
.....

3.遍历删除注册表键值。

病毒遍历以下几个主键里的所有注册表键值，并在其中搜索一些在病毒体内保存的字串，当病毒发现存在这些字串时，病毒将该注册表键删除。

HKEY_CLASSES_ROOT，
HKEY_CURRENT_USER，
HKEY_LOCAL_MACHINE，
HKEY_USERS，
HKEY_CURRENT_CONFIG

病毒体内保存的子串：

\pfwadmin.exe，
\persfw.exe，
\sched.exe.，
\aswupdsv.exe，
\aswregsvr.exe，
\aswboot.exe，
\ashskpck.exe，
\ashskpcc.exe，
\ashsimpl.exe.，
\ashserv.exe，
\ashquick.exe.，
\ashpopwz.exe
\ashmaisv.exe，
\ashlogv.exe，
\ashdisp.exe，
\ashchest.exe，
\ashbug.exe，
\ashavast.exe
\symnavo.dll，
\statushp.dll，
\sdstp32i.dll，
\sdsok32i.dll，
\sdsnd32i.dll，
\sdpck32i.dll
\scriptui.dll，
\scanmgr.dll，
\scandres.dll，
\scandlvr.dll，
\savscan.exe，
\savrtpel.sys
\savrt32.dll，
\savrt.sys，
\s32navo.dll，
\s32integ.dll，
\quaropts.dat，
\quarantine,
\quar32.dll ,
.....

4.邮件传播：

病毒搜索C:盘里的后缀为TBB，tbb，TBI，tbi，DBX，dbx，HTM，htm，TXT，txt的文件，并尝试从中提取email地址。随后将等待一个有效的网络联接时对其进行邮件传播。

病毒将跳过邮件地址中含有以下字串的邮件地址，以避免过早被反毒软件厂商获得病毒。

webmaster@，update，unix，support@，
support，spam，sopho，samples.root@
rating@，postmaster@，pgp，panda，ntivi，noreply.noone@，nobody@，news

netadmin@，local，listserv，
Linux，kasp，info@，icrosoft，
hostmaster@ help@，Google，gold-certs@，
gold-，free-av，feste，f-secur，contract@
contact@，certs@，certific，cafee，bugs@，
bsd，anyone@，all@，administrator@
admin，abuse，@microsoft，@messagelab，
@iana，@foo，@avp....

邮件标题：

ASAP,please responce,Read this,
urgent,toxic,contract,
Money,office,Have a nice day
Hello,Russian's,Amirecans,attachments,
attach,waiting.best regards,Administrator
Warning.text,Vasia,re: Andrey,re: please,re: order,Allert!

邮件内容：

Att.Hi ..Did you get the previous document I attached for you?.
I resent it in this email just in case, because I.really need you to check it out asap
Best Regards ,Hi ..I made a mistake and forgot to click attach.on the
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。
发现日期： 2004-10-22

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有