該病毒運行後,衍生病毒檔案到系統目錄下。添加註冊表自動運行項以隨機引導病毒體。同時在病毒所在資料夾衍生隨機命名的病毒檔案。此病毒內設 SMTP 功能,以添加自身為附屬檔案的形式進行傳播。
基本介紹
- 中文名:路德爾
- 外文名:Email-Worm.Win32.Luder.a
- 類型:蠕蟲
- 屬性:病毒
- 危害等級:4
- 感染系統: Win9X以上系統
- 開發工具: Microsoft Visual C++ 6.0
簡介,行為分析,
簡介
檔案 MD5: D355DB6E05DBC00D20CB71E4E0613115
公開範圍: 完全公開
檔案長度: 17,559 位元組
加殼工具: UPX 變形
命名對照: McAfee [ W32/Nuwar@MM ] AVG[Downloader.Tibs]
NOD32 [ Win32/Nuwar.M ] DrWeb[Win32.Dref]
行為分析
1 、 衍生下列副本與檔案:
%System32%\alsys.exe
2 、 新建註冊表鍵值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Agent
Value: String: "%WINDOWS%\System32\alsys.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Agent
Value: String: "%WINDOWS%\System32\alsys.exe"
3 、 修改下列註冊表鍵值,以迫使用戶必須手動打開 ICS ( Internet Connection Sharing ):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DrWatson\NumberOfCrashes
New: DWORD: 1 (0x1)
Old: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Start
New: DWORD: 4 (0x4)
Old: DWORD: 3 (0x3)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start
New: DWORD: 4 (0x4)
Old: DWORD: 3 (0x3)
4 、 E-mail 形式可能為以下內容:
主題 : { 其中之一 }
Happiness And Continued Success!
Baby New Year!
Warm New Year Hug!
Happy Times And Happy Memories!
Best Wishes For A Happy New Year!
郵件內容 :
{ 空 }
附屬檔案內容 : { 其中之一 }
postcard.exe
Postcard.exe
greeting card.exe
Greeting Card.exe
greeting postcard.exe
Greeting Postcard.exe
5 、 病毒試圖結束包含下列字元串的進程:
Blackice
f-pro
firewall
hijack
lockdown
mcafee
msconfig
nod32
reged
taskmgr
troja
vsmon
zonea
zpybot
6 、 連線某伺服器地址,檢測時已失效:
81.177.3.92 (以色列) TCP http[SYN] DstPort[80]
註: % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。
--------------------------------------------------------------------------------
清除方案:
1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
alsys.exe
(2) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run\Agent
Value: String: "%WINDOWS%\System32\alsys.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\Agent
Value: String: "%WINDOWS%\System32\alsys.exe"
(3) 刪除病毒釋放檔案
%WINDOWS%\System32\alsys.exe
