Email-Worm.Win32.Warezov.fk

該病毒運行後,病毒衍生檔案到系統目錄下,添加註冊表自動運行項以隨機引導病毒體。修改AppInit_DLLs 項以掛載病毒體復活自身。“齷齪蟲”變種fk是一個利用群髮帶毒郵件進行傳播的網路蠕蟲。彈出虛假升級成功信息。連線指定站點,下載特定檔案。從被感染的計算機上搜尋有效信箱地址,群髮帶毒郵件

基本介紹

  • 外文名:Email-Worm.Win32.Warezov.fk
  • 公開範圍: 完全公開
  • 危害等級: 中等
  • 檔案長度: 133,120 位元組
簡介,行為分析,清除方案,

簡介

病毒名稱:Email-Worm.Win32
中文名稱:齷齪蟲變種
病毒類型:蠕蟲
檔案 MD5:6248C9D11A276E9EB7923F88038716F2
感染系統:Win98以上系統
開發工具:Microsoft Visual C++ 7.0
加殼工具:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
命名對照:驅逐艦[Win32.HLLM.Limar.based]

行為分析

1、衍生下列副本與檔案
%Windir%\wupd32.dat
%Windir%\wupd32.exe
%Windir%\wupd32.s
%Windir%\wupd32.wax
%System32%\e1.dll
2、新建註冊表鍵值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\wupd32
鍵值: 字元串: "%WINDir%\wupd32.exe s"
3、更改註冊表鍵值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion
\Windows\AppInit_DLLs
新: 字元串: "e1.dll"
舊: 字元串: ""
4、偽造發信地址,可能向下列伺服器傳送帶毒郵件:
(47.248.0.39)
(216.219.253.216)
(192.147.142.39)
(135.245.0.35)
(209.195.187.23)
(195.153.6.29)
(66.207.133.141)
(202.108.5.111)
(202.43.216.28)
(208.58.1.194) DstPort:smtp(25)
DstPort:smtp(25)
DstPort:smtp(25)
DstPort:smtp(25)
DstPort:smtp(25)
DstPort:smtp(25)
DstPort:smtp(25)
DstPort:smtp(25)
DstPort:smtp(25)
DstPort:smtp(25)
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------

清除方案

1、使用安天木馬防線可徹底清除此病毒(推薦)
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線進程管理”關閉病毒進程
wupd32.exe
(2) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion
\Windows
\AppInit_DLLs
新: 字元串: "e1.dll"
舊: 字元串: ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\wupd32
鍵值: 字元串: "%WINDir%\wupd32.exe s"
(3) 重啟電腦
(4) 刪除病毒釋放檔案
%Windir%\wupd32.dat
%Windir%\wupd32.exe
%Windir%\wupd32.s
%Windir%\wupd32.wax
%System32%\e1.dll

相關詞條

熱門詞條

聯絡我們