Worm.Nimaya.cv:傳播,病毒將使用兩類感染方式進行感染,二進制執行檔,

這是一個傳染型的DownLoad 使用Delphi編寫該病毒的主要行為： 1.本地磁碟感染病毒對系統中所有除了盤符為A,B的磁碟類型為DRIVE_REMOTE,DRIVE_FIXED的磁碟進行檔案遍歷感染註：不感染檔案大小超過10485760位元組以上的。

基本介紹

中文名：本地磁碟感染
外文名：Worm.Nimaya.cv
類型：電腦病毒
感染範圍：10485760位元組以下

傳播,病毒將使用兩類感染方式進行感染,二進制執行檔,腳本類,生成autorun.inf,區域網路傳播,修改作業系統的啟動關聯,下載檔案啟動,與防毒軟體對抗,關閉並刪除以下服務,

傳播

(病毒將不感染如下目錄的檔案):

Microsoft Frontpage

Movie Maker

MSN Gamin Zone

Common Files

Windows NT

Recycled

System Volume Information

Documents and Settings

....

(病毒將不感染檔案名稱如下的檔案):

setup.exe

病毒將使用兩類感染方式進行感染

病毒將使用兩類感染方式應對不同後綴的檔案名稱進行感染

二進制執行檔

二進制執行檔(後綴後為:EXE,SCR,PIF,COM)

將感染目標檔案和病毒溶合成一個檔案(被感染檔案貼在病毒檔案尾部)完成感染.

腳本類

腳本類(後綴名為:htm,html,asp,php,jsp,aspx)

在這些腳本檔案尾加上如下連結(下邊的頁面存在安全漏洞):

在感染時會刪除這些磁碟上的後綴名為.GHO

生成autorun.inf

病毒建立一個計時器以,6秒為周期在磁碟的根目錄下生成

setup.exe(病毒本身) autorun.inf 並利用AutoRun Open關聯

使病毒在用戶點擊被感染磁碟時能被自動運行.

區域網路傳播

病毒生成隨機個區域網路傳播執行緒實現如下的傳播方式:

當病毒發現能成功聯接攻擊目標的139或445連線埠後,將使用內置的一個用戶列表及密碼字典

進行聯接.(猜測被攻擊端的密碼)當成功的聯接上以後將自己複製過去並利用計畫任務

啟動激活病毒.

被嘗試猜測密碼的賬戶號為:

Administrator

Guest

admin

Root

用來進行密碼嘗試的字典為:

1234

password

6969

harley

123456

golf

pussy

mustang

1111

shadow

1313

fish

5150

7777

qwerty

baseball

2112

letmein

mein

12345678

12345

admin

5201314

qq520

1234567

123456789

654321

54321

000000

11111111

88888888

pass

passwd

database

abcd

abc123

sybase

123qwe

server

computer

super

123asd

ihavenopass

godblessyou

enable

2002

2003

2600

alpha

111111

121212

123123

1234qwer

123abc

patrick

administrator

ator

root

fuckyou

fuck

test

test123

temp

temp123

asdf

qwer

yxcv

zxcv

home

owner

pw123

love

mypc

mypc123

admin123

mypass

mypass123

901100

修改作業系統的啟動關聯

病毒會將自己複製到%SYSTEM32%\DRIVERS\目錄下檔案名稱為:spcolsv.exe將以

1秒鐘為周期不斷設定如下鍵值:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

svcshare=%病毒檔案路徑%

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

CheckedValue=0

下載檔案啟動

病毒會以20分鐘為周期嘗試讀取特定網站上的下載檔案列表

並根據檔案列表指定的檔案下載,並啟動這些程式.

與防毒軟體對抗

1.關閉包含以下字元串的視窗：

防火牆

VirusScan

NOD32

網鏢

防毒

毒霸

瑞星

超級兔子

最佳化大師

大師

木馬清道夫

卡巴斯基反病毒

Symantec AntiVirus

Duba

esteem procs

綠鷹PC

密碼防盜

噬菌體

木馬輔助查找器

System Safety Monitor

Wrapped gift Killer

Winsock Expert

遊戲木馬檢測大師

超級巡警

IceSword

2.結束以下進程：

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmond.exe

CCenter.exe

RavTask.exe

Rav.exe

Ravmon.exe

RavmonD.exe

RavStub.exe

KVXP.kxp

KvMonXP.kxp

KVCenter.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

FrogAgent.exe

Logo1_.exe

Logo_1.exe

Rundl132.exe

regedit.exe

msconfig.exe

taskmgr.exe

關閉並刪除以下服務

Schedule

sharedaccess

RsCCenter

RsRavMon

RsCCenter

KVWSC

KVSrvXP

kavsvc

AVP

McAfeeFramework

McShield

McTaskManager

navapsvc

wscsvc

KPfwSvc

SNDSrvc

ccProxy

ccEvtMgr

ccSetMgr

SPBBCSvc

Symantec Core LC

NPFMntor

MskService

FireSvc

注:

因為該病毒會感染系統的htm,html,asp,php,jsp,aspx等檔案,並在其中加入有利用安全漏洞進行

病毒傳播的連結.如果一台伺服器被感染將大大增加病毒傳播的範圍.

Worm.Nimaya.cv