基本介紹
- 外文名:Worm/Win32.Otwycal.d
- 病毒類型:蠕蟲類
- 公開範圍:完全公開
- 危害等級:4
病毒標籤,病毒描述,本地行為,網路行為,清除方案,
病毒標籤
病毒名稱: Worm/Win32.Otwycal.d
病毒類型: 蠕蟲類
檔案 MD5: 5DB5E82D3710253871C61D279F692622
公開範圍: 完全公開
危害等級: 4
檔案長度: 14792位元組
感染系統: Windows98以上版本
開發工具: Microsoft Visual C++ 6.0
加殼類型: WinUpack 0.39
病毒描述
該病毒為蠕蟲類,病毒運行後複製自身到系統目錄,衍生病毒檔案,並刪除自身。修改註冊表,添加病毒驅動服務。嘗試訪問相關網站下載其它惡意程式。感染系統explorer.exe檔案,將其最後一個節名改為.WYCao,將病毒代碼與入該節尾部,修改入口點為病毒入口。當系統調用explorer.exe時,先執行病毒代碼,然後執行正常explorer.exe功能。此病毒主要作用為下載其它惡意代碼。
本地行為
1、 檔案運行後會衍生以下檔案
%WinDir%\Tasks\0x01xx8p.exe
%HomeDrive% \zzz.sys
2、創建驅動檔案服務,並以服務的方式達到啟動的目的:
服務名稱:zzz
顯示名稱:zzz
檔案路徑:\??\c:\zzz.sys
3、病毒嘗修改explorer.exe最後一個節.reloc 為.WYCao,並從節最後全0處開始寫入病毒代碼,修改該節的虛擬大小,原始大小與節屬性;同時修改檔案的映像大小,並將入口點修改為病毒的入口地址。
4、當開機explorer.exe啟動時,先執行病毒代碼,執行完後跳到explorer.exe正常入口進行執行。
網路行為
連線網路c.158dm**.com /config.txt,下載病毒列表,按列表的URL下載其它病毒。
注釋:
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動系統所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% 當前用戶TEMP快取變數;路徑為:
%Documents and Settings%\當前用戶\Local Settings\Temp
%System32% 是一個可變路徑;
病毒通過查詢作業系統來決定當前System32資料夾的位置;
Windows2000/NT中默認的安裝路徑是 C:\Winnt\System32;
Windows95/98/Me中默認的安裝路徑是 C:\Windows\System;
WindowsXP中默認的安裝路徑是 C:\Windows\System32。
清除方案
1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
%WinDir%\Tasks\0x01xx8p.exe
(2) 強行刪除病毒檔案
%WinDir%\Tasks\0x01xx8p.exe
%HomeDrive% \zzz.sys
(3)刪除病毒添加的註冊表服務項
