蠕蟲病毒Win32.Womble.C

蠕蟲病毒Win32.Womble.C

Win32/Womble.C是一種傳送大量郵件的蠕蟲,可能是一個可運行程式,也可能是一個Windows Media檔案,攻擊MS06-001漏洞。病毒還可能通過網路共享進行複製,並周期性的下載任意檔案,在被感染機器上運行。

基本介紹

  • 中文名:蠕蟲病毒Win32.Womble.C
  • 病毒屬性:蠕蟲病毒
  • 危害性:低危害
  • 流行程度:中
簡介,其它名稱,病毒屬性,具體介紹,感染方式,傳播方式,郵件地址的獲取,發件地址,主題,附屬檔案,郵件內容,通過網路共享傳播,危害,清除,

簡介

其它名稱

其它名稱:Email-Worm.Win32.Womble.c (Kaspersky), W32.Womble.A@mm (Symantec), W32/Womble.B (F-Secure), WORM_WOMBLE.C (Trend), W32/Womble@MM (McAfee), W32/Womble-A (Sophos)

病毒屬性

Rootkit 功能
Almanahe的 rootkit 功能連愚懂顯示為隱藏檔案註冊表鍵值和與病毒相關的程式信息。
附加信息
Almanahe可能生成以下鍵值:
HKLMSoftwareAdobeVersion

具體介紹

感染方式

Womble.C可能使用兩種形式分布:
作為一個可運行程式,帶有.pif 或 .exe 擴展名;
作為一個Windows Media 檔案,攻擊MS06-001 漏洞。這個漏洞允許攻擊者在易受攻擊的機器上運行他們選擇的代碼,一般是Win32/Worfo病毒。這個檔案可能帶有 .jpg 或 .wmf 擴展名。
如果蠕蟲作為一個Windows Media檔案運行,在使用任意media顯示之前攻擊代碼先運行,並引起瀏覽器程式損壞或者根本不能啟動匪備。獄乎腳攻擊代碼將蠕蟲的可運行程式生成到%System%目錄,並隨後運行它。可運行程式使用以下任一檔案名稱:
winlogin.exe
netupdate.exe
winupdate.exe
winlog.exe
註:'%System%'是一個捉煉精可變的路徑。病毒通過查詢作業系統來決定當前系統資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
如果不是從%System%目錄運行蠕蟲的可運行程式,它就會使用現有檔案名稱複製到%System%目錄。如果檔案名稱幾疊凳蜜使用.pif擴展名,蠕蟲就會使用.exe擴展名替代它。由於代碼中的錯誤,Womble.C可能不能正確的使用.pif擴展名安裝檔案。
使用任何一種形式,蠕蟲都會生成一個資料夾%AppData%\Microsoft\WinTools。
註:'%AppData%'是一個可變的路徑。病毒通過查詢作業系統來決定當前AppData資料夾的位置。 一般在以下路徑C:\Documents and Settings\\Application Data,在XP系統上是C:\Documents and Settings\\Local Settings\Application Data。
假如它現在有.exe擴展名,它就會添加很厚戒趨仔多很多空格和完整的路徑名到以下註冊表鍵值
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit
例如:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell =
"Explorer.exe %System%\"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit =
"%System%\userinit.exe ,%System%\"
為了確保在系統啟動時運行蠕蟲,它還會生成以下鍵值:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ms_net_update
= "%System%\"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ms_net_update
= "%System%\"

傳播方式

通過郵件傳播
為了配置病毒郵件,Womble.C查詢以下鍵值獲取SMTP伺服器和用戶帳戶等信息:
HKCU\Software\Microsoft\Internet Account Manager\Accounts
並獲取SMTP和用戶帳戶的詳細信息。

郵件地址的獲取

蠕蟲從Windows Address Book獲取收件人記整糊郵件地址。它還會通過掃描所有驅動器和RAM上包含以下擴展名的檔案來獲取郵件地址:
.adb
.asp
.dbx
.htm
.php
.pl
.sht
.tbb
.txt

發件地址

Womble.C生成不同的發件地址和回復地址。發件地址使用被感染的用戶帳戶信息。回復地址的用戶名由5個任意的小寫字母組成,域名從以下列表中選擇:
bbc.com
blueyonder.co.uk
bonbon.net
cashette.com
caths.co.uk
cnn.com
cwazy.co.uk
freeserve.co.uk
freeserve.net
gawab.com
hotmail.com
hotpop.com
lpemail.com
nerdshack.com
orcon.net.nz
phreaker.net
pop3.com
redwhitearmy.com
smtp.com
toughguy.net
ukgateway.net
usa.com
yahoo.com
它還會從以下列表選擇描述的名字,但是不顯示在郵件中:
ada
adam
alex
barbara
bill
bob
brad
celine
chris
damien
david
don
donald
elizabeth
eva
george
hanz
jack
jerry
john
mariah
mark
marry
matt
mickle
robert
shawn
ted
tom
tommy
william

主題

主題從以下任意選擇:
!!
Action
Beauty
Bush
FIFA
Helo
Hi
important
Incredible!!
info
Kiss
Laura
Laura and John
Lola
Look at this!!!
Miss Khan
Nataly
Ola
Olympus
Paula
pic
pics
private
private pics
Re:
RE:
Re: hi
Re: info
RE: pic
read this
Robert
Sex

附屬檔案

蠕蟲使用2種形式(可運行程式或Windows Media檔案)中的一種附加到郵件中。隨後Womble.C將檔案放到ZIP檔案中,還可能加入密碼保護。
可運行程式的檔案名稱從以下選擇,並帶有.pif 或 .exe 擴展名:
firefox_update
free_anti_spyware
free_antivirus
ie_update
inet
java_update
ms_office_update
net_update
new_win_patch
remove_spyware
www
ZIP檔案的檔案名稱也從以上列表中選擇,如果有密碼保護就帶有.pif.psw.zip 擴展名,如果沒有密碼就帶有.pif.zip擴展名。
Windows Media 檔案的檔案名稱從以下列表中選擇,並帶有.jpg 或 .wmf擴展名:
about_windows
congratulations
mails
new_picture
picture
some_info
www
your_friends
隨後蠕蟲從上述列表中選擇一個檔案名稱作為ZIP檔案名稱。ZIP可能帶有.jpg.zip 或 .wmf.zip擴展名。如果使用密碼保護,ZIP的擴展名可能是.jpg.passw.zip 或 wmf.passw.zip。Womble留下其它被解壓的檔案。ZIP的擴展名可能改變,檔案名稱是相同的,ZIP檔案可能帶有.wmf擴展名(例如"some_info.wmf.zip"),將包含帶有.jpg擴展名的檔案。
這三個附屬檔案檔案名稱用在一個完整的郵件中。

郵件內容

如果附屬檔案沒有密碼,Womble.C使用以下郵件內容:
Attach File...
如果附屬檔案有密碼,顯示不會有變化,但是蠕蟲代碼包含以下內容:
Arc Attach File Password:

通過網路共享傳播

Womble.C嘗試通過網路共享傳播,將病毒複製到網路上的其它系統,並複製到本地的網路共享中。
蠕蟲在%AppData%\Microsoft\WinTools目錄中生成一個子目錄,從以下任意選擇一個名稱:
dvd
dvd_info
free
h_core
l_this
lunch
mp3
new_mp3
new_video
photo
sh_docs
take_it
video
xxx
它在這裡放兩個沒有壓縮的病毒副本,一個是可運行格式,一個是Windows Media格式。Womble.C使用上面附屬檔案描述中的方法為這些病毒副本生成檔案名稱。隨後嘗試將新生成的目錄用做網路共享。
蠕蟲可能重複以上過程。如果選擇的目錄已經存在,它就會複製一個新檔案到這個目錄中,每個格式都包含幾個副本。
Womble.C還嘗試連線網路中的其它系統。它使用被感染機器IP位址的前3個位元組,第四個位元組從0到255循環,每個數值都依次嘗試一次。如果它能夠連線到一個系統,並且有可利用的網路共享,蠕蟲就會在這個已分享資料夾中生成一個未壓縮的副本――一次使用可運行程式格式,一次使用Windows Media檔案格式。
從0到255所有數值都嘗試一次後,蠕蟲保持IP位址的前3個位元組,第4個位元組再一次從0到255在循環一次。使用這種方式,網路中的系統可能多次收到蠕蟲的兩種格式的副本。

危害

下載並運行任意檔案
每隔半小時,Womble.C連線support.365soft.info伺服器下載3個檔案的列表。這些text檔案包含下載可運行程式的URL和版本號。蠕蟲將每個檔案都保存到%System%目錄,並保留下載檔案的名稱,並在.exe擴展名之前插入5個任意數字。例如,如果下載的檔案是"bot1.exe",那么蠕蟲就會將它保存到%System%\bot1.22615.exe,隨後運行這個檔案。
Womble.C將下載檔案的版本號保存到以下註冊表位置:
HKLM\Software\WinUpload\ =
例如,"bot1.exe"的4版本就保存為:
HKLM\Software\WinUpload\bot1.exe = 4
Womble.C利用這個鍵值檢查請求的檔案是否已經被下載。使用這種方式,它只下載新的檔案或已經下載的檔案的更新的版本。
Womble.C可能連線以下伺服器來獲取下載的檔案列表:
http://211.184.55.7
http://anyproxy.net
http://baishui.info
http://email-Support.Seekful.com
http://est.otsos.info
http://gogonic.info
http://jiji.2tw.info
http://mail.96520.org
http://mymail.100hotmail.com
http://mymail.allformail.com
http://mymail.bokee.com
http://mymail.dlxt.net
http://mymail.shadrach.net
http://newstarking.info
http://qwe115.info
http://realnyy-otsos.pp.ru
http://se006.info
http://server1.mymail.ph
http://support.enviroweb.org
http://support.nikontech.com
http://support.software602.com
http://tut.shluxa.info
http://update.co.tv
http://update.ebilion.com
http://update.mediaroz.com
http://update.snowsoft.co.kr
http://update.wwwmail.org
http://webmemory.info
http://www.3btasarim.com
修改防火牆設定
Womble.C嘗試修改Outpost firewall設定,允許病毒通過網路。
其他信息
Womble.C嘗試從http://microsoft.com/index.html下載頁面,檢查internet連通性。
蠕蟲將它的一個版本號保存到:
HKLM\Software\WinUpdate\Version
它還將很多最近運行時間的信息保存到以下鍵值:
HKCU\Software\Microsoft\Windows\CurrentVersion\wmf.1.1
HKCU\Software\Microsoft\Windows\CurrentVersion\wmf.1.2

清除

KILL安全胄甲Vet 30.3.3050 版本可檢測/清除此病毒。
假如它現在有.exe擴展名,它就會添加很多很多空格和完整的路徑名到以下註冊表鍵值
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit
例如:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell =
"Explorer.exe %System%\"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit =
"%System%\userinit.exe ,%System%\"
為了確保在系統啟動時運行蠕蟲,它還會生成以下鍵值:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ms_net_update
= "%System%\"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ms_net_update
= "%System%\"

傳播方式

通過郵件傳播
為了配置病毒郵件,Womble.C查詢以下鍵值獲取SMTP伺服器和用戶帳戶等信息:
HKCU\Software\Microsoft\Internet Account Manager\Accounts
並獲取SMTP和用戶帳戶的詳細信息。

郵件地址的獲取

蠕蟲從Windows Address Book獲取收件人郵件地址。它還會通過掃描所有驅動器和RAM上包含以下擴展名的檔案來獲取郵件地址:
.adb
.asp
.dbx
.htm
.php
.pl
.sht
.tbb
.txt

發件地址

Womble.C生成不同的發件地址和回復地址。發件地址使用被感染的用戶帳戶信息。回復地址的用戶名由5個任意的小寫字母組成,域名從以下列表中選擇:
bbc.com
blueyonder.co.uk
bonbon.net
cashette.com
caths.co.uk
cnn.com
cwazy.co.uk
freeserve.co.uk
freeserve.net
gawab.com
hotmail.com
hotpop.com
lpemail.com
nerdshack.com
orcon.net.nz
phreaker.net
pop3.com
redwhitearmy.com
smtp.com
toughguy.net
ukgateway.net
usa.com
yahoo.com
它還會從以下列表選擇描述的名字,但是不顯示在郵件中:
ada
adam
alex
barbara
bill
bob
brad
celine
chris
damien
david
don
donald
elizabeth
eva
george
hanz
jack
jerry
john
mariah
mark
marry
matt
mickle
robert
shawn
ted
tom
tommy
william

主題

主題從以下任意選擇:
!!
Action
Beauty
Bush
FIFA
Helo
Hi
important
Incredible!!
info
Kiss
Laura
Laura and John
Lola
Look at this!!!
Miss Khan
Nataly
Ola
Olympus
Paula
pic
pics
private
private pics
Re:
RE:
Re: hi
Re: info
RE: pic
read this
Robert
Sex

附屬檔案

蠕蟲使用2種形式(可運行程式或Windows Media檔案)中的一種附加到郵件中。隨後Womble.C將檔案放到ZIP檔案中,還可能加入密碼保護。
可運行程式的檔案名稱從以下選擇,並帶有.pif 或 .exe 擴展名:
firefox_update
free_anti_spyware
free_antivirus
ie_update
inet
java_update
ms_office_update
net_update
new_win_patch
remove_spyware
www
ZIP檔案的檔案名稱也從以上列表中選擇,如果有密碼保護就帶有.pif.psw.zip 擴展名,如果沒有密碼就帶有.pif.zip擴展名。
Windows Media 檔案的檔案名稱從以下列表中選擇,並帶有.jpg 或 .wmf擴展名:
about_windows
congratulations
mails
new_picture
picture
some_info
www
your_friends
隨後蠕蟲從上述列表中選擇一個檔案名稱作為ZIP檔案名稱。ZIP可能帶有.jpg.zip 或 .wmf.zip擴展名。如果使用密碼保護,ZIP的擴展名可能是.jpg.passw.zip 或 wmf.passw.zip。Womble留下其它被解壓的檔案。ZIP的擴展名可能改變,檔案名稱是相同的,ZIP檔案可能帶有.wmf擴展名(例如"some_info.wmf.zip"),將包含帶有.jpg擴展名的檔案。
這三個附屬檔案檔案名稱用在一個完整的郵件中。

郵件內容

如果附屬檔案沒有密碼,Womble.C使用以下郵件內容:
Attach File...
如果附屬檔案有密碼,顯示不會有變化,但是蠕蟲代碼包含以下內容:
Arc Attach File Password:

通過網路共享傳播

Womble.C嘗試通過網路共享傳播,將病毒複製到網路上的其它系統,並複製到本地的網路共享中。
蠕蟲在%AppData%\Microsoft\WinTools目錄中生成一個子目錄,從以下任意選擇一個名稱:
dvd
dvd_info
free
h_core
l_this
lunch
mp3
new_mp3
new_video
photo
sh_docs
take_it
video
xxx
它在這裡放兩個沒有壓縮的病毒副本,一個是可運行格式,一個是Windows Media格式。Womble.C使用上面附屬檔案描述中的方法為這些病毒副本生成檔案名稱。隨後嘗試將新生成的目錄用做網路共享。
蠕蟲可能重複以上過程。如果選擇的目錄已經存在,它就會複製一個新檔案到這個目錄中,每個格式都包含幾個副本。
Womble.C還嘗試連線網路中的其它系統。它使用被感染機器IP位址的前3個位元組,第四個位元組從0到255循環,每個數值都依次嘗試一次。如果它能夠連線到一個系統,並且有可利用的網路共享,蠕蟲就會在這個已分享資料夾中生成一個未壓縮的副本――一次使用可運行程式格式,一次使用Windows Media檔案格式。
從0到255所有數值都嘗試一次後,蠕蟲保持IP位址的前3個位元組,第4個位元組再一次從0到255在循環一次。使用這種方式,網路中的系統可能多次收到蠕蟲的兩種格式的副本。

危害

下載並運行任意檔案
每隔半小時,Womble.C連線support.365soft.info伺服器下載3個檔案的列表。這些text檔案包含下載可運行程式的URL和版本號。蠕蟲將每個檔案都保存到%System%目錄,並保留下載檔案的名稱,並在.exe擴展名之前插入5個任意數字。例如,如果下載的檔案是"bot1.exe",那么蠕蟲就會將它保存到%System%\bot1.22615.exe,隨後運行這個檔案。
Womble.C將下載檔案的版本號保存到以下註冊表位置:
HKLM\Software\WinUpload\ =
例如,"bot1.exe"的4版本就保存為:
HKLM\Software\WinUpload\bot1.exe = 4
Womble.C利用這個鍵值檢查請求的檔案是否已經被下載。使用這種方式,它只下載新的檔案或已經下載的檔案的更新的版本。
Womble.C可能連線以下伺服器來獲取下載的檔案列表:
http://211.184.55.7
http://anyproxy.net
http://baishui.info
http://email-Support.Seekful.com
http://est.otsos.info
http://gogonic.info
http://jiji.2tw.info
http://mail.96520.org
http://mymail.100hotmail.com
http://mymail.allformail.com
http://mymail.bokee.com
http://mymail.dlxt.net
http://mymail.shadrach.net
http://newstarking.info
http://qwe115.info
http://realnyy-otsos.pp.ru
http://se006.info
http://server1.mymail.ph
http://support.enviroweb.org
http://support.nikontech.com
http://support.software602.com
http://tut.shluxa.info
http://update.co.tv
http://update.ebilion.com
http://update.mediaroz.com
http://update.snowsoft.co.kr
http://update.wwwmail.org
http://webmemory.info
http://www.3btasarim.com
修改防火牆設定
Womble.C嘗試修改Outpost firewall設定,允許病毒通過網路。
其他信息
Womble.C嘗試從http://microsoft.com/index.html下載頁面,檢查internet連通性。
蠕蟲將它的一個版本號保存到:
HKLM\Software\WinUpdate\Version
它還將很多最近運行時間的信息保存到以下鍵值:
HKCU\Software\Microsoft\Windows\CurrentVersion\wmf.1.1
HKCU\Software\Microsoft\Windows\CurrentVersion\wmf.1.2

清除

KILL安全胄甲Vet 30.3.3050 版本可檢測/清除此病毒。

相關詞條

熱門詞條

聯絡我們