病毒入侵途徑
程式用途:
後門木馬病毒以竊取信息為主。或最新的病毒名稱:Worm.Viking.cp 中 文 名:“威金”蠕蟲變種CP
程式作者:
後台程式: 是
使用網路: 是
硬體相關: 否
安全等級: 低
進程分析: 該病毒修改win.ini檔案實現自啟動,使用與rundll32.exe相似的
rundl132.exe檔案名稱。病毒運行後打開
後門連線埠,允許惡意攻擊者控制計算機。
病毒關鍵代碼
00443BFE >/$ 55 push ebp
00443BFF |. 8BEC mov ebp, esp
00443C01 |. 6A FF push -1
00443C03 |. 68 C8025900 push 005902C8
00443C08 |. 68 C0AC4400 push 0044ACC0 ; SE handler installation
00443C0D |. 64:A1 0000000>mov eax, dword ptr fs:[0]
00443C13 |. 50 push eax
00443C14 |. 64:8925 00000>mov dword ptr fs:[0], esp
00443C1B |. 83EC 58 sub esp, 58
00443C1E |. 53 push ebx
00443C1F |. 56 push esi
00443C20 |. 57 push edi
00443C21 |. 8965 E8 mov dword ptr [ebp-18], esp
00443C24 |. FF15 F0325800 call dword ptr [<&KERNEL32.GetVersion>; kernel32.GetVersion
00443C2A |. 33D2 xor edx, edx
00443C2C |. 8AD4 mov dl, ah
00443C2E |. 8915 08EC5F00 mov dword ptr [5FEC08], edx
00443C34 |. 8BC8 mov ecx, eax
00443C36 |. 81E1 FF000000 and ecx, 0FF
00443C3C |. 890D 04EC5F00 mov dword ptr [5FEC04], ecx
00443C42 |. C1E1 08 shl ecx, 8
00443C45 |. 03CA add ecx, edx
00443C47 |. 890D 00EC5F00 mov dword ptr [5FEC00], ecx
00443C4D |. C1E8 10 shr eax, 10
00443C50 |. A3 FCEB5F00 mov dword ptr [5FEBFC], eax
00443C55 |. 6A 01 push 1
00443C57 |. E8 E85D0000 call 00449A44
00443C5C |. 59 pop ecx
00443C5D |. 85C0 test eax, eax
00443C5F |. 75 08 jnz short 00443C69
00443C61 |. 6A 1C push 1C
00443C63 |. E8 C3000000 call 00443D2B
00443C68 |. 59 pop ecx
00443C69 |> E8 6E3B0000 call 004477DC
00443C6E |. 85C0 test eax, eax
00443C70 |. 75 08 jnz short 00443C7A
00443C72 |. 6A 10 push 10
00443C74 |. E8 B2000000 call 00443D2B
00443C79 |. 59 pop ecx
00443C7A |> 33F6 xor esi, esi
00443C7C |. 8975 FC mov dword ptr [ebp-4], esi
00443C7F |. E8 B67C0000 call 0044B93A
00443C84 |. FF15 3C335800 call dword ptr [<&KERNEL32.GetCommand>; [GetCommandLineA
00443C8A |. A3 D84A6000 mov dword ptr [604AD8], eax
00443C8F |. E8 747B0000 call 0044B808
00443C94 |. A3 ECEB5F00 mov dword ptr [5FEBEC], eax
00443C99 |. E8 1D790000 call 0044B5BB
00443C9E |. E8 5F780000 call 0044B502
00443CA3 |. E8 1E180000 call 004454C6
00443CA8 |. 8975 D0 mov dword ptr [ebp-30], esi
00443CAB |. 8D45 A4 lea eax, dword ptr [ebp-5C]
00443CAE |. 50 push eax ; /pStartupinfo
00443CAF |. FF15 4C335800 call dword ptr [<&KERNEL32.GetStartup>; \GetStartupInfoA
00443CB5 |. E8 F0770000 call 0044B4AA
00443CBA |. 8945 9C mov dword ptr [ebp-64], eax
00443CBD |. F645 D0 01 test byte ptr [ebp-30], 1
00443CC1 |. 74 06 je short 00443CC9
00443CC3 |. 0FB745 D4 movzx eax, word ptr [ebp-2C]
00443CC7 |. EB 03 jmp short 00443CCC
00443CC9 |> 6A 0A push 0A
00443CCB |. 58 pop eax
00443CCC |> 50 push eax
00443CCD |. FF75 9C push dword ptr [ebp-64]
00443CD0 |. 56 push esi
00443CD1 |. 56 push esi ; /pModule
00443CD2 |. FF15 9C325800 call dword ptr [<&KERNEL32.GetModuleH>; \GetModuleHandleA
00443CD8 |. 50 push eax
00443CD9 |. E8 DAF40F00 call 005431B8
00443CDE |. 8945 A0 mov dword ptr [ebp-60], eax
00443CE1 |. 50 push eax
00443CE2 |. E8 0C180000 call 004454F3
00443CE7 |. 8B45 EC mov eax, dword ptr [ebp-14]
00443CEA |. 8B08 mov ecx, dword ptr [eax]
00443CEC |. 8B09 mov ecx, dword ptr [ecx]
00443CEE |. 894D 98 mov dword ptr [ebp-68], ecx
00443CF1 |. 50 push eax
00443CF2 |. 51 push ecx
00443CF3 |. E8 3A760000 call 0044B332
00443CF8 |. 59 pop ecx
00443CF9 |. 59 pop ecx
00443CFA \. C3 retn
00443CFB 8B db 8B
00443CFC 65 db 65 ; CHAR 'e'
00443CFD E8 db E8
00443CFE FF db FF
00443CFF 75 db 75 ; CHAR 'u'
00443D00 98 db 98
00443D01 E8 db E8
00443D02 FE db FE
00443D03 17 db 17
00443D04 00 db 00
00443D05 00 db 00
00443D06 /$ 833D F4EB5F00>cmp dword ptr [5FEBF4], 1
00443D0D |. 75 05 jnz short 00443D14
00443D0F |. E8 E27D0000 call 0044BAF6
00443D14 |> FF7424 04 push dword ptr [esp+4]
00443D18 |. E8 127E0000 call 0044BB2F
00443D1D |. 68 FF000000 push 0FF
00443D22 |. FF15 B0C35C00 call dword ptr [5CC3B0] ; FoxitRea.00445504
00443D28 |. 59 pop ecx
00443D29 |. 59 pop ecx
00443D2A \. C3 retn
00443D2B /$ 833D F4EB5F00>cmp dword ptr [5FEBF4], 1
00443D32 |. 75 05 jnz short 00443D39
00443D34 |. E8 BD7D0000 call 0044BAF6
00443D39 |> FF7424 04 push dword ptr [esp+4]
00443D3D |. E8 ED7D0000 call 0044BB2F
00443D42 |. 59 pop ecx
00443D43 |. 68 FF000000 push 0FF ; /ExitCode = FF
00443D48 \. FF15 44335800 call dword ptr [<&KERNEL32.ExitProces>; \ExitProcess
00443D4E . C3 retn
病毒檔案
病毒名稱:Worm.Viking.cp
中 文 名:“威金”蠕蟲變種CP
釋放vidll.dll到任何執行檔目錄下。
該病毒修改註冊表創建Run/Timer項實現自啟動,病毒檔案包括:0Sy.exe 1Sy.exe 2Sy.exe 3Sy.exe 4Sy.exe 5Sy.exe 6Sy.exe 7Sy.exe 8Sy.exe
9Sy.exe以及 0~9.exe等等 。
檔案編號:CISRT2006004
病毒名稱:Worm.Win32.Viking.i(AVP)
加殼方式:UPack
樣本MD5:fe498f7687658c33547d72151111b93f
發現時間:2006.5.30
更新時間:2006.6.1
關聯病毒:
技術分析:
1、運行後創建檔案:
2、建立自啟動項:
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="%Windows%\rundl132.exe"
3、vDll.dll將插入Explorer.exe或iexplore.exe進程。
net stop "Kingsoft AntiVirus Service"
5、嘗試訪問共享網路ipc$和admin$,傳送ICMP用“Hello,World”探測。
6、生成的一些記錄檔案:
C:\gamevir.txt
C:\1.txt
C:\log.txt
7、變種Logo1_.exe會感染(捆綁).exe檔案,在這個
rundl132.exe的測試中沒有發現感染(捆綁).exe檔案的情況。
感染(捆綁).exe檔案,但不感染(捆綁)以下目錄中的.exe:
system
system32
windows
Documents and Settings
System Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
8、嘗試修改HOSTS檔案:
%System32%\drivers\etc\hosts
9、添加註冊表信息:
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"
10、嘗試訪問網路下載其它木馬病毒,有WOW、征途、QQ尾巴等木馬。
1.在系統目錄下生成一些病毒檔案,有0sy.exe,到9sy.exe,還有圖示為QQ的,圖為為迅雷的,為real播放器的,反正是很容易騙過你的圖示,名稱一律為
rundl132.exe (32之前是個1不是l,rundll32.exe是
系統檔案,是不是很會騙人?)
2.把
迅雷和winrar的
程式檔案替換掉使你無法運行這兩個程式,其他的程式有沒有被換掉我不知道,反正我看到了這兩個軟體是這樣.
3.打開
進程管理器可以看到有rundl1.exe cmd.exe winxxx.exe xxx為數字且為隨機的且在C:\Documents and Settings\你的用戶名\Local Settings\temp 下