Win32/Bypuss.B是一種蠕蟲,通過移動存儲器傳播,嘗試傳送用戶的文檔副本到遠程伺服器。
基本介紹
- 中文名:蠕蟲病毒Win32.Bypuss.B
- 病毒屬性:蠕蟲病毒
- 危害性:中等危害
- 流行程度:高
病毒名稱,感染方式,它還會修改以下註冊表,會定期的被重複寫入,傳播方式,危害,傳送文檔到遠程伺服器,終止進程,其它信息,清除,
病毒名稱
蠕蟲病毒Win32.Bypuss.B, W32.SillyFDC (Symantec), W32/SillyFDC-N (Sophos), Worm.Win32.Agent.o (Kaspersky)
感染方式
Win32/Bypuss.B 生成一個DLL 檔案到 %Temp%\dfssetup.tmp,這是一個隱藏的系統檔案,隨後調用DLL的一個功能。
這個DLL檔案還會複製一個隱藏的系統檔案到以下位置:
%System%\mfc48.dll
%Windows%\java\classes\java.dll
%System%\kernel32.sys
它使用格式為病毒任意生成一個Class ID,這裡的每個X代表一個十六進制數字。例如Class ID 可能是 。隨後使用Class ID生成以下註冊表鍵值:
HKLM\SOFTWARE\Microsoft\Internet Explorer\GUID = ""
HKCR\CLSID\\(Default) = "Java Class"
HKCR\CLSID\\InprocServer32\(Default) = "C:\WINDOWS\java\classes\java.dll"
HKCR\CLSID\\InprocServer32\ThreadingModel = "Apartment"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Browser Helper Objects\\(Default) = ""
為了確保隱藏檔案不在Windows資源管理器,
它還會修改以下註冊表
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
\ShowSuperHidden = 0x0
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\Folder\SuperHidden\CheckedValue = 0x0
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\Folder\SuperHidden\UncheckedValue = 0x0
為了在任一新程式運行時載入蠕蟲的DLL檔案,病毒修改以下註冊表鍵值:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\Windows\AppInit_DLLs = "kernel32.sys"
以上所有檔案和註冊表鍵值都
會定期的被重複寫入
如果以下進程正在運行,蠕蟲會將代碼注入到其中一個或者更多的進程中:
explorer.exe
winlogon.exe
lsass.exe
svchost.exe
qq.exe
如果以下程式正在運行,蠕蟲會運行它的惡意代碼:
alg.exe
conime.exe
csrss.exe
explorer.exe
inetinfo.exe
kavstart.exe
msmsgs.exe
qq.exe
smss.exe
svchost.exe
winlogon.exe
wuauclt.exe
註:'%Windows%',%System% 和 %Temp%都是可變的路徑。病毒通過查詢作業系統來決定這些資料夾的位置。Windows 目錄在Windows 2000 and NT默認的系統安裝路徑是C:\Winnt; 95,98 和 ME 的是C:\Windows; XP 的是C:\Windows。System目錄在Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。Temp目錄一般在以下路徑:"C:\Documents and Settings\\Local Settings\Temp", 或 "C:\WINDOWS\TEMP"。
傳播方式
通過移動存儲器傳播
Bypuss.B通過複製病毒到移動存儲器上進行傳播,例如USB存儲器。當添加一個移動存儲器時,Bypuss.B作為一個隱藏的系統檔案複製到/RECYCLER/RECYCLER/autorun.exe。它還會替換以下隱藏的配置檔案:
/RECYCLER/RECYCLER/desktop.ini
/autorun.inf
當移動存儲器添加到另一個系統時,就會運行"autorun.exe",它會在被感染系統上激活移動存儲器的自動運行功能。
危害
傳送文檔到遠程伺服器
Bypuss.B掃描所有的移動驅動器和從C:/ 到Z:/ 所有驅動器上以 .doc 或 .xls 為擴展名檔案。如果安裝了WinRAR檔案,病毒就會利用WinRAR將所有相關的檔案壓縮到以下位置:
%System%\%MS%HCopy.tmp
%System%\%MS%UCopy.tmp
註:上面的%MS%是檔案名稱的一部分,不表示變數。
但是,由於蠕蟲代碼中的錯誤,只有C:/ 驅動器和任一可移動驅動器是完全掃描的。其它的硬碟驅動器和ramdisk,只掃描這些驅動器的根目錄。
如果被感染機器上沒有WinRAR,蠕蟲就會生成另一個副本%System%\FileSpy.exe,並使用這個副本生成一個乾淨的檔案%System%\rar.exe。隨後,它使用"rar.exe"來壓縮檔案。
所有的驅動器都被掃描後,蠕蟲就會傳送加密的副本%MS%HCopy.tmp 和 %MS%UCopy.tmp 到61.128.197.212上的一個伺服器。
終止進程
Bypuss.B 嘗試終止"iparm.exe" 進程。
其它信息
%Windows%\java\classes\java.dll
%System%\kernel32.sys
它還刪除以下註冊表:
HKCR\CLSID\< ClassID >\InprocServer32
HKCR\CLSID\< ClassID >
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Browser Helper Objects\< ClassID >
HKLM\SOFTWARE\Microsoft\Internet Explorer\GUID
並修改以下註冊表鍵值:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
\ShowSuperHidden = 0x0
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\Folder\SuperHidden\CheckedValue = 0x0
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\Folder\SuperHidden\UncheckedValue = 0x1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\Windows\AppInit_DLLs = ""
清除
KILL安全胄甲Vet 30.7.3579 版本可檢測/清除此病毒。
