P2P-Worm.Win32.Niklas.y

P2P-Worm.Win32.Niklas.y

該病毒屬蠕蟲類病毒,主要通過p2p軟體傳播,如:Grokster、BearShare、Kazaa等,病毒運行後複製原病毒檔案到%windir%下,病毒通過修改並查找註冊表檔案,達到將原病毒副本添加到啟動項並查找出以安裝的p2p軟體,從而複製原病毒副本到p2p軟體目錄下,嘗試傳播。病毒也會通過遍歷系統中某些目錄,並嘗試複製原病毒副本到這些目錄中。病毒運行後還會遍歷系統當前進程,嘗試終止某些反病毒及安全軟體的進程,並搜尋註冊表檔案,刪除其中某些反病毒及安全軟體的鍵值。

基本介紹

  • 外文名:P2P-Worm.Win32.Niklas.y
  • 公開範圍:完全公開
  • 檔案長度:12,288 位元組
  • 感染系統:Windows 98 及以上版本
  • 開發工具:Borland Delphi 6.0 - 7.0
病毒簡介,行為分析,複製原病毒體到,操作,複製病毒,病毒運行,清除方案,

病毒簡介

檔案 MD5: 79F9937933F4362783B9FB90129AA281
公開範圍: 完全公開
危害等級: 中
檔案長度: 12,288 位元組
感染系統: Windows 98 及以上版本
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: UPX
命名對照: Symentec[W32.HLLW.Niklas]
Mcafee[無]

行為分析

複製原病毒體到

%windir%\melis.exe
%windir%\naz.scr
%windir%\temp\project32\<random>.exe

操作

註冊表檔案進行新建、查找、刪除操作:
新建如下鍵值:
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
鍵值:字串:MELIS = "%Windir%\melis.exe”
HKEY_CURRENT_USER\Software\Kazaa\LocalContent\
鍵值:字串:DisableSharing" = "0"
查找以下p2p軟體的相關鍵值,若存在則複製原病毒體到這個資料夾內,等待傳播:
HKEY_CURRENT_USER\Software\Kazaa\Transfer\DlDir0
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
\DownloadDir
HKEY_CURRENT_USER\Software\iMesh\Client
\LocalContent\DownloadDir
HKEY_CURRENT_USER\Software\Shareaza\Shareaza
\Transfers\DownloadsPath
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
\Download Directory
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Shell Folders\Personal
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Shell Folders\Desktop
HKEY_LOCAL_METHINE\SOFTWARE\LimeWire\InstallDir
HKEY_LOCAL_METHINE\Software\Mirabilis\ICQ
\DefaultPrefs\Receive Path
刪除某些反病毒及安全軟體相應的註冊表鍵值
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\RunServices
鍵值:
AVPCC
AVPCC Service
BlackIce Utility
F-StopW
McAfee Firewall
McAfee Winguage
McAfee.InstantUpdate.Monitor
McAfeeVirusScanService
McAfeeWebscanX
McAgentExe
McUpdateExe
NAV Agent
NAV Configuration Wizard
NAV DefAlert
NB Common Dialog Enhancements
NB Start Menu
……

複製病毒

遍歷以下目錄,並嘗試複製原病毒體到該目錄中:
%ProgramFiles%\Grokster\My Grokster
%ProgramFiles%\WinMX\My Shared Folder
%ProgramFiles%\ICQ\Shared Files
%ProgramFiles%\Kazaa Lite\My Shared Folder
%ProgramFiles%\KMD\My Shared Folder
%ProgramFiles%\LimeWire\Shared
%ProgramFiles%\BearShare\Shared
%ProgramFiles%\Rapigator\Share
%ProgramFiles%\mIRC\Download
……

病毒運行

病毒運行後還會遍歷系統當前進程,嘗試終止某些反病毒及安全軟體的進程:
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCANW.EXE
……
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。

清除方案

1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線進程管理”關閉病毒進程
(2) 刪除病毒檔案
%windir%\melis.exe
%windir%\naz.scr
%windir%\temp\project32\<random>.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值:字串:MELIS = "%Windir%\melis.exe”

相關詞條

熱門詞條

聯絡我們