|
 | 作者: triones [pig4210]
 论坛用户 |
登录 |
| 转载:[ 一、[病毒特征]: 1、病毒英文名:I-Worm.supnot.w 2、病毒中文名:爱情后门 3、病毒 大小 :125K 二、[病毒分析]: 该病毒为爱情后门病毒的最新变种。大小约为125K,采用ASPACK2.12压缩。 病毒被执行以后在system目录下生成了以下文件 hxdef.exe ravmond.exe iexplore.exe kernel66.dll odbc16.dll msjdbc11.dll MSSIGN30.DLL spollsv.exe NetMeeting.exe a 在windows目录下生成: SYSTRA.EXE 在每个分区根根目录下生成以下文件: bak.rar bak.zip install.rar install.zip letter.rar letter.zip pass.rar pass.zip setup.rar setup.zip work.rar work.zip autorun.inf command.exe 在被执行的病毒文件所在的目录下会生成以下文件: results.txt win2k.txt-----当当前系统是windows2000时产生 winxp.txt-----当当前系统是windows XP时产生 写以下注册表项: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run] "Hardware Profile"="%Windir%\\System32\\hxdef.exe" "VFW Encoder/Decoder Settings"=" RUNDLL32.EXE MSSIGN30.DLL ondll_reg" "Microsoft NetMeeting Associates, Inc."="NetMeeting.exe" "Program In Windows"="%Windir%\\System32\\IEXPLORE.EXE" "Shell Extension"="%Windir%\\System32\\spollsv.exe" "Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\runServices] "SystemTra"="%Windir%\\SysTra.EXE" 添加以下服务: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Windows Management Protocol v.0 (experimental)] 病毒自带FTP服务器端,它会在15436端口提供一个FTP服务,这样病毒就可以通过建立一个文本方式的下载脚本文件来从被感染计算机上 下载病毒可执行文件。病毒会利用共享方式进行传播,共享传播主要通过netmeeting.exe来进行,它会扫描网络内的共享资源,并尝试将自身复制到远程共享。 病毒会使用windows的程序CMD.EXE写文本文件a,内容如下: open 127.0.0.1 15436 ftp ftp bin get hxdef.exe bye 并使用该文件来下载病毒可执行文件,病毒会不停调用cmd.exe程序,由于cmd.exe为隐藏运行,用户可以在进程管理器中看到1个以上的cmd.exe进程。 病毒还自带SMTP引擎,它将使用该引擎向从被感染计算机上搜集到的电子邮件地址发送带病毒附件的垃圾邮件,邮件内容如下: 发件人:从搜索到的电子邮件地址中随机获取 收件人:从搜索到的电子邮件地址中随机获取 主题: 正文: 附件:大小125K左右,扩展名为以下类型的文件: .exe .scr .pif .cmd .bat .zip .rar 病毒会尝试感染网络中的共享资源(探测网络内计算机的135、139、445等端口),当发现有可写的共享资源时,病毒会将自己的副本写入该共享,如果病毒探测到被感染计算机的有权限用户的弱口令(使用自带的密码库),病毒会远程将病毒执行起来达到网络传染的目的。 病毒会搜索本地除了系统盘以外的所有分区上的EXE文件并尝试将其扩展名改为.zmx,并将属性设置为隐藏+系统,然后将病毒的副本复制到EXE文件所在目录病毒将名称改为该EXE的名称。另外病毒也会将自身的副本随机复制到任意目录当中(名称主要有自带的列表和从被感染计算机上搜索到的EXE文件名两种,自带的文件名列表略)。 ] 手工杀除方法如下: 一、进入安全模式,还原注册表于N天前,最好时间早一点的。 二、照单查杀所有在案病毒。一个不落,shift+del不经回收站彻底删除(要认真阅读转载部分,并注意对隐藏文件的搜索) 三、后遗症处理: 1。X?:\attrib *.zmx -s -h /s 2。X?:\…\ren *.exe *.zmx 3。X?:\…\del *.exe /q 4。X?:\…\ren *.zmx *.exe 5.如法跳回2。对每个文件夹进行处理。直到每个分区(系统盘除外)每个文件夹处理完毕。 四、但如果你要低格硬盘并重装系统,以上什么都无须做了。 献丑。 原帖发表于http://www.cnredhacker.net/bbs/(红客大联盟)经过修改。 |
| 地主 发表时间: 04-06-05 11:37 |
 | 回复: BrideX [bridex]  论坛用户 |
登录 |
|
嗯,好。 |
| B1层 发表时间: 04-06-05 12:13 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 有关爱情后门变种如何删除的问题