| 病毒标签: 病毒名称: Net-Worm.Win32.Agent.i 中文名称: 下载者变种 病毒类型: 蠕虫类 文件 MD5: 027439557029E881E05853539E38AD5D 公开范围: 完全公开 危害等级: 4 文件长度: 脱壳前 18,944 字节,脱壳后84,480 字节 感染系统: Win9X以上系统 开发工具: Borland Delphi 5.0 加壳工具: UPX变形壳 病毒描述: 该病毒运行后,衍生病毒文件到系统多个目录下。添加注册表系统服务项与自动运行项以跟随系统引病毒体。连接网络下载病毒体到本机运行,下载的病毒体多为网络游戏盗号程序。并试图生成 Autorun.inf文件从而调用病毒体。 行为分析: 1 、衍生下列副本与文件: %System32%\DirectX9.dll %System32%\MOSOU.dll %System32%\mosou.exe %System32%\msdebug.dll %System32%\nwiztlbb.dll %System32%\nwiztlbu.exe %System32%\RemoteDbg.dll %Program Files%\Internet Explorer\PLUGINS\870813.exe %Program Files%\Internet Explorer\PLUGINS\System64.Jmp %Program Files%\Internet Explorer\PLUGINS\System64.Sys 2 、新建下列注册表键值: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteDbg\Description Value: String: " 允许 Administrators 组的成员进行远程调试。 " HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteDbg\DisplayName Value: String: "Remote Debug Service" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteDbg\ImagePath Value: Type: REG_EXPAND_SZ Length: 53 (0x35) bytes %WINDIR%System32\rundll32.exe RemoteDbg.dll,input. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDebugsvc\Description Value: String: " 为计算机系统提供 32 位调试服务。如果此服务被禁用, 所有明确依赖它的服务都将不能启动。 " HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDebugsvc\DisplayName Value: String: "Win32 Debug Service" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDebugsvc\ImagePath Value: Type: REG_EXPAND_SZ Length: 51 (0x33) bytes %WINDIR%System32\rundll32.exe msdebug.dll,input. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\@ Value: String: "%Program Files%\Common Files\Services\svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\MicrosoftAutorun5 Value: String: "%WINDIR%System32\mosou.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\Microsoft Autorun7 Value: String: "%WINDIR%System32\nwiztlbu.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ {754FB7D8-B8FE-4810-B363-A788CD060F1F}\InProcServer32\@ Value: String: "%Program Files%\Internet Explorer\PLUGINS\System64.Sys" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ {754FB7D8-B8FE-4810-B363-A788CD060F1F}\@ Value: String: "" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\ Installed Components\{2bf41073-b2b1-21c1-b5c1-0701f4155588}\StubPath Value: Type: REG_EXPAND_SZ Length: 51 (0x33) bytes %Program Files%\Common Files\Services\svchost.exe. 3 、病毒体下载地址: www.z*36*3.com(5*.3*.5*.1*2)/yx/zt.exe www.z*36*3.com(5*.3*.5*.1*2)/yx/cq.exe www.z*36*3.com(5*.3*.5*.1*2)/yx/mh.exe www.z*36*3.com(5*.3*.5*.1*2)/yx/wow.exe 4 、病毒体试图执行下列恶意行为: net Stop Norton Antivirus Auto Protect Service net Stop mcshield net stop "Windows Firewall/Internet Connection Sharing (ICS)" net stop System Restore Service Windows Security Center 结束窗体名为下列的进程: 噬菌体 木马克星 wopticlean.exe eghost.exe kavpfw.exe roguecleaner.exe regedit.exe 360safe.exe 5 、衍生文件 nwiztlbu.exe 包含调用“ ntsd –c q –p % 要结束的进程 pid% ”的恶意代码: 瑞星卡卡上网助手 AVP 注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\Winnt\System32 , windows95/98/me 中默认的安装 路径是 C:\Windows\System , windowsXP 中默认的安装路径是 C:\Windows\System32 。 清除方案: 1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 ) 2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1)使用安天木马防线结束病毒进程: %System32%\mosou.exe %System32%\nwiztlbu.exe (2)删除病毒添加的注册表项: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ {754FB7D8-B8FE-4810-B363-A788CD060F1F}\InProcServer32\@ Value: String: "%Program Files%\Internet Explorer\ PLUGINS\System64.Sys" (3)重新启动到安全模式下。 (4)删除病毒释放文件: %System32%\DirectX9.dll %System32%\MOSOU.dll %System32%\mosou.exe %System32%\msdebug.dll %System32%\nwiztlbb.dll %System32%\nwiztlbu.exe %System32%\RemoteDbg.dll %Program Files%\Internet Explorer\PLUGINS\870813.exe %Program Files%\Internet Explorer\PLUGINS\System64.Jmp %Program Files%\Internet Explorer\PLUGINS\System64.Sys |
| 欢迎光临 IT家园 (http://bbs.it998.com/) | Powered by Discuz! 7.2 |