Worm.Win32.Downloader.nm

病毒標籤

毒名戀盼雅體稱： Worm.Win32.Downloader.nm

檔案 MD5： 659D70B13E9D117DEA8F3DBBC8FC103C

檔案長度： 24,196 位元組

感染系統： Windows98以上版本

開發工具： Microsoft Visual C++ 6.0 SPx Method 1

加殼類型： WinUpack 0.39 final -> By Dwing

病毒描述

目的使卡巴主動失效，創建註冊表病毒服務項、映像劫持多款安全軟體，目的使系統安全性降低，遍歷System32目錄查找\s*st.exe的檔案，找到svchost.exe檔案後，創建一個進程並調用ReadProcessMemory函式讀寫該進程記憶體，調用ZwUnmapViewOfSection獲取當前進程映射的夜格勸基址，然後調用WriteProcessMemory函式對記憶體地址寫入病毒數據，連線網路讀取列表下載大量惡意婚朽檔案並運行，給用戶清除病毒帶來極大的不便。

行為分析

本地行為：

1、病毒運行獲取系統進程，查找進程中是否存在AVP.exe（卡巴斯基婚企嬸防毒軟體），如找到該進程則把當前系統時間修改為2001年，目的使卡巴主動失效。

2、創建註冊表病毒服務灑姜拔項：

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001

\Enum\Root\LEGACY_MHFP\0000\Service]

註冊表值: "mhfp"

類型： REG_SZ

值："Mhfp"

描述: 服務描述

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet

\Services\Mhfp\Description]

註冊表值: "DisplayName"

類型： REG_SZ

值："Mhfp"

描述: 服務描趨講閥述

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet

\Services\Mhfp\DisplayName]

註冊表值: "DisplayName"

類型： REG_SZ

值：" Mhfp"

描述: 服務名稱

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet

\Services\Mhfp\ErrorControl]

註冊表值: "ErrorControl"

類淚只閥趨型： REG_SZ

值："DWORD: 1 (0x1)"

描述: 服務控制

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet

\Services\Mhfp\ImagePath]

註冊表值: "ImagePath"

類型： REG_SZ

值：" \??\C:\DOCUME~1\a\LOCALS~1\Temp\~wxp2ins.234.tmp"

描述: 服務映像檔案的啟動路徑

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet

\Services\Mhfp\Start]

註冊表值: "Start"

類型： REG_SZ

值："DWORD: 3 (0x3)"

描述: 服務的啟動方式，手動

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet

\Services\Mhfp\Type]

註冊表值: "Type"

類型： REG_SZ

值："DWORD: 3 (0x3)"

描述: 服務類型

3、映像劫持多款安全軟體：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

\Windows NT\CurrentVersion

\Image File Execution Options\被映像劫持的檔案名稱稱]

新建鍵值: "Debugger"

類型： REG_SZ

字元串： “C:\WINDOWS\system32\svchost.exe”

劫持檔案名稱列表：

360rpt.exe、360safebox.exe、360tray.exe、adam.exe、

AgentSvr.exe、AppSvc32.exe、ati2evxx.exe、autoruns.exe、

avconsol.exe、avgrssvc.exe、AvMonitor.exe、avp.com、avp.exe、

CCenter.exe、ccSvcHst.exe、egui.exe、esafe.exe、FileDsty.exe、

FTCleanerShell.exe、HijackThis.exe、IceSword.exe、idag.exe、

Iparmor.exe、isPwdSvc.exe、kabaload.exe、kaccore.exe、

KaScrScn.SCR、KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、

KAVPF.exe、KAVPFW.exe、KAVSetup.exe、KAVStart.exe、kavsvc.exe、

KAVsvcUI.exe、KISLnchr.exe、kissvc.exe、KMailMon.exe、

KMFilter.exe、KPFW32.exe、kpfwsvc.exe、KPPMain.exe、KRegEx.exe、

KRepair.com、KsLoader.exe、KVCenter.kxp、KvDetect.exe、

KVFW.EXE、KvfwMcl.exe、KVMonXP_1.kxp、kvol.exe、kvolself.exe、

KvReport.kxp、KVScan.kxp、KVsrvXP.exe、KVStub.kxp、kvupload.exe、

KVwsc.exe、kwatch.exe、KWatch9x.exe、KWatchX.exe、MagicSet.exe、

mcconsol.exe、mmqczj.exe、mmsk.exe、navapsvc.exe、Navapw32.exe、

nod32krn.exe、NPFMntor.exe、OllyDBG.EXE、OllyICE.EXE、PFW.exe、

PFWLiveUpdate.exe、procexp.exe、QHSET.exe、qqdoctor.exe、qqkav.exe、

qqsc.exe、Ras.exe、rav.exe、rav.exe、RAVmon.exe、RAVmonD.exe、

ravstub.exe、ravtask.exe、ravtimer.exe、ravtool.exe、RegClean.exe、

regtool.exe、rfwmain.exe、FYFireWall.exe、rfwproxy.exe、

FYFireWall.exe、rfwsrv.exe、rfwstub.exe、rising.exe、Rsaupd.exe、

runiep.exe、safebank.exe、safeboxtray.exe、safelive.exe、

scan32.exe、shcfg32.exe、SmartUp.exe、SREng.EXE、symlcsvc.exe、

SysSafe.exe、TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、

UIHost.exe、UIHost.exe、UmxAgent.exe、UmxAttachment.exe、

UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、UpLive.exe、vsstat.exe、

webscanx.exe、WinDbg.exe、WoptiClean.exe

4、遍歷System32目錄查找\s*st.exe的檔案，找到svchost.exe檔案後，創建一個進程並調用ReadProcessMemory函式讀寫該進程記憶體，調用ZwUnmapViewOfSection獲取當前進程映射的基址，然後調用WriteProcessMemory函式對記憶體地址寫入病毒數據，連線網路讀取列表下載大量惡意檔案並運行。

網路行為:

1、協定：TCP

連線埠：80

IP位址：121.10.107.**

描述：連線伺服器讀取TXT列表內容下載病毒，讀取的列表內容：

[5]

20080512 http://www.ibmle****.net.cn/down/e1.exe

20080512 http://www.ibmle****.net.cn/down/r2.exe

20080512 http://www.ibmle****.net.cn/down/a3.exe

20080512 http://www.ibmle****.net.cn/down/j4.exe

20080512 http://www.ibmle****.net.cn/down/y5.exe

20080512 http://www.ibmle****.net.cn/down/m6.exe

20080512 http://www.ibmle****.net.cn/down/r7.exe

20080512 http://www.ibmle****.net.cn/down/i8.exe

20080512 http://www.ibmle****.net.cn/down/x9.exe

20080512 http://www.ibmle****.net.cn/down/l10.exe

20080512 http://www.li****.cn/down/b11.exe

20080512 http://www.li****.cn/down/z12.exe

20080512 http://www.li****.cn/down/m13.exe

20080512 http://www.li****.cn/down/n14.exe

20080512 http://www.li****.cn/down/o15.exe

20080512 http://www.li****.cn/down/g16.exe

20080512 http://www.li****.cn/down/j17.exe

20080512 http://www.li****.cn/down/l18.exe

20080512 http://www.li****.cn/down/c19.exe

20080512 http://www.li****.cn/down/t20.exe

20080512 http://www.mo****.cn/down/p21.exe

20080512 http://www.mo****.cn/down/x22.exe

20080512 http://www.mo****.cn/down/m23.exe

20080512 http://www.mo****.cn/down/o24.exe

20080512 http://www.mo****.cn/down/b25.exe

20080512 http://www.mo****.cn/down/e26.exe

20080512 http://www.mo****.cn/down/v27.exe

20080512 http://www.mo****.cn/down/m28.exe

20080512 http://www.mo****.cn/down/u29.exe

20080512 http://www.mo****.cn/down/h30.exe

20080512 http://www.mo****.cn/down/b31.exe

20080512 http://www.mo****.cn/down/c32.exe

20080512 http://www.mo****.cn/down/u33.exe

20080512 http://www.mo****.cn/down/z34.exe

註： %System32% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System資料夾的位置。

%Windir% 　　 WINDODWS所在目錄

%DriveLetter%　邏輯驅動器根目錄

%ProgramFiles%　　系統程式默認安裝目錄

%HomeDrive% 　當前啟動的系統的所在分區

%Documents and Settings% 　當前用戶文檔根目錄

%Temp% 　\Documents and Settings\當前用戶\Local Settings\Temp

%System32% 　系統的 System32資料夾

Windows2000/NT中默認的安裝路徑是C:\Winnt\System32

windows95/98/me中默認的安裝路徑是C:\Windows\System

windowsXP中默認的安裝路徑是C:\Windows\System32

清除方案：

1、使用安天防線可徹底清除此病毒(推薦)

2、手工清除請按照行為分析刪除對應檔案，恢復相關係統設定。

(1)使用ATOOL“進程管理”關閉病毒相關進程。

(2)刪除病毒服務註冊表項：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet

\Enum\Root\LEGACY_MHFP\0000\Service]

鍵值：" Mhfp"

刪除Mhfp鍵值

[HKEY_LOCAL_MACHINE\SYSTEM

\CurrentControlSet\Services]

鍵值："Mhfp"

刪除Mhfp鍵值

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

\Windows NT\CurrentVersion]

鍵值："Image File Execution Options"

刪除註冊表Image File Execution Options鍵值

Worm.Win32.Downloader.nm

基本介紹

病毒標籤

病毒描述

行為分析

清除方案：

清除方案：

相關詞條

熱門詞條