Worm.Bugbear.B
2008-02-23 09:18:41来源:互联网 阅读 ()
该病为集win32感染,黑客后门,蠕虫特性于一身的恶性病毒。病毒文件大小为72k(使用upx压缩)使用vc编写。病毒在运行时将放出三个随机的文件名的文件。
该随机算法和(磁盘卷的序号有关)这些文件有两个为病毒使用的数据文件。一个为记录键盘击键的hook函数库。
后门:
病毒在本地系统监听1080端口,等待控制台端的连入。
从代码上分析,该后门暴露系统信息,并可供执行一些
简单的控制命令。
文件感染部份:
病毒尝试感染以下系统目录或program Files里的特定文件
scandskw.exe
regedit.exe
mplayer.exe
hh.exe
notepad.exe
winhelp.exe
Internet EXPlorer\iexplore.exe
adobe\acrobat 5.0\reader\acrord32.exe
WinRAR\WinRAR.exe
Windows Media Player\mplayer2.exe
Real\RealPlayer\realplay.exe
Outlook Express\msimn.exe
Far\Far.exe
CuteFTP\cutftp32.exe
Adobe\Acrobat 4.0\Reader\AcroRd32.exe
ACDSee32\ACDSee32.exe
MSN Messenger\msnmsgr.exe
WS_FTP\WS_FTP95.exe
QuickTime\QuickTimePlayer.exe
StreamCast\Morpheus\Morpheus.exe
Zone Labs\ZoneAlarm\ZoneAlarm.exe
Trillian\Trillian.exe
Lavasoft\Ad-aware 6\Ad-aware.exe
AIM95\aim.exe
WinAMP\winamp.exe
DAP\DAP.exe
ICQ\Icq.exe
kazaa\kazaa.exe
WinZip\winzip32.exe
病毒的感染手法奇特,将被感染文件的导入表抹掉使用文件和病毒体本身融合,(为增加反病毒软件的查杀难度).当病毒发现存在被感染文件时,将从体内把被感染文件重新定位好,把被感染文件当做“模块”调用。被感染文件的恢复必需重构导入表。
局域网传播:
病毒试图搜所局域网内的共享资源并把自己复制到对方系统的开始菜单的启动项目录中。以达到自启动的目的。
邮件传播:
病毒试图从后缀后为.mmf,.nch,.mbx,.eml,.tbb,.dbx,.ocs的文件中搜出mail地址进行邮件传播,病毒利用的smtp服务器为从系统的注册表中读取的当前用户smtp服务器。
邮件标题为以下中随机选取
Payment notices
update
various
hmm..
Just a reminder
Correction of errors
Announcement
New Contests
Get a FREE gift!
Today Only
My eBay ads
25 merchants and rising
Cows
Your Gift
CALL FOR INFORMATION!
new reading
Sponsors needed
SCAM alert!!!
Warning!
its easy
free shipping!
Get 8 FREE issues - no risk!
Tools For Your Online Business
New bonus in your cash account
$150 FREE Bonus!
Your News Alert
Hi!
Daily Email Reminder
....
邮件的附件扩展名为:
以下随机的选择:
.reg,.ini ,.bat,.diz ,.txt ,.cpp ,.Html ,.htm ,.jpeg ,.jpg,.gif ,.cpl ,.dll ,.vxd ,.sys ,.com ,.exe ,.bmp
当扩展名为可执行文件时。文件名可能有以下字符
readme ,Setup ,Card ,Docs ,news ,image ,images ,pics ,resume,photo ,video music ,song
守护线程:
该线程功能为:每20秒遍历一次系统得到进程例表,当发现存在以下列表中的反病毒软件进程就结束其进程。
PCFWALLICON.EXE
PCCWIN98.EXE
PAVW.EXE
PAVSCHED.EXE
PAVCL.EXE
PADMIN.EXE
OUTPOST.EXE
NVC95.EXE
NUPGRADE.EXE
NORMIST.EXE
NMAIN.EXE
NISUM.EXE
NAVWNT.EXE
NAVW32.EXE
NAVNT.EXE
NAVLU32.EXE
NAVAPW32.EXE
N32SCANW.EXE
MPFTRAY.EXE
MOOLIVE.EXE
LUALL.EXE
LOOKOUT.EXE
LOCKDOWN2000.EXE
JEDI.EXE
IOMON98.EXE
IFACE.EXE
ICSUPPNT.EXE
ICSUPP95.EXE
ICMON.EXE
ICLOADNT.EXE
ICLOAD95.EXE
IBMAVSP.EXE
IBMASN.EXE
IAMSERV.EXE
IAMAPP.EXE
FRW.EXE
FPROT.EXE
FP-WIN.EXE
AUTODOWN.EXE
APVXDWIN.EXE
ANTI-TROJAN.EXE
ACKWIN32.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE
...
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。VB写的蠕虫
发现日期: 2003-6-6
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇:Worm.4HorseMan.b
下一篇:Worm.SoBig.c
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash