基本介紹
- 中文名:Worm.Anig.e
- 威脅級別:★★
- 病毒類型:蠕蟲
病毒簡介,傳播過程,
病毒簡介
病毒別名:Worm.Win32.Anig.e[AVP]
處理時間:
影響系統:WinNT
傳播過程
1.將自身複製到%system%目錄,並嘗試將當前目錄下的DLL檔案ntgina.dll複製並替換 we%system%\ntgina.dll.
2.修改註冊表。
將自身在系統目錄的副本添加為自啟動服務dfcsvc:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dfcsvc
"Type"=dword:00000110
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"="<病毒檔案名稱> /dfcsvc"
"DisplayName"="Distributed File Controller"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,53,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dfcsvc\Security
"Security"="<系統相關>"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dfcsvc\Enum
"0"="Root\\LEGACY_DFCSVC\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DFCSVC
"NextInstance"=dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DFCSVC\0000
"Service"="dfcsvc"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"=""
"DeviceDesc"="Distributed File Controller"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DFCSVC\0000\Control
"*NewlyCreated*"=dword:00000000
"ActiveService"="dfcsvc"
將自身載入到啟動項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Osa32"="<病毒原始檔案名稱>"
添加與登入相關的註冊表項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Ram32Data"="AMBIILKKEBMCFLLCNBMDICAFNBFCBLFK"
"Ram32ID"="<隨機字元串>"
"Ram32Group"="UNK"
"GinaDll"="ntgina.dll"
3.通過修改"GinaDll"註冊表鍵值,使得用戶登入之前載入病毒的DLL檔案,如果該檔案存在就可以盜取用戶的登入密碼。
4.病毒還可以通過弱密碼攻擊遠程系統進行主動傳播,如果連線成功,則將自身複製到目標主機的目錄:\ADMIN$\SYSTEM32\,然後連線遠程主機的註冊表並將病毒載入到註冊表的啟動項。
5.病毒連線ICQ網址的連線埠5190傳送上線通知,然後打開後門連線埠5190,利用ICQ軟體進行遠程控制或者傳播。
