基本介紹
- 外文名:Worm.Win32.Downloader.nm
- 病毒類型:蠕蟲
- 公開範圍:完全公開
- 危害等級:4
病毒標籤,病毒描述,行為分析,清除方案:,
病毒標籤
毒名戀盼雅體稱: Worm.Win32.Downloader.nm
檔案 MD5: 659D70B13E9D117DEA8F3DBBC8FC103C
檔案長度: 24,196 位元組
感染系統: Windows98以上版本
開發工具: Microsoft Visual C++ 6.0 SPx Method 1
加殼類型: WinUpack 0.39 final -> By Dwing
病毒描述
目的使卡巴主動失效,創建註冊表病毒服務項、映像劫持多款安全軟體,目的使系統安全性降低,遍歷System32目錄查找\s*st.exe的檔案,找到svchost.exe檔案後,創建一個進程並調用ReadProcessMemory函式讀寫該進程記憶體,調用ZwUnmapViewOfSection獲取當前進程映射的夜格勸基址,然後調用WriteProcessMemory函式對記憶體地址寫入病毒數據,連線網路讀取列表下載大量惡意婚朽檔案並運行,給用戶清除病毒帶來極大的不便。
行為分析
本地行為:
1、病毒運行獲取系統進程,查找進程中是否存在AVP.exe(卡巴斯基婚企嬸防毒軟體),如找到該進程則把當前系統時間修改為2001年,目的使卡巴主動失效。
2、創建註冊表病毒服務灑姜拔項:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Enum\Root\LEGACY_MHFP\0000\Service]
註冊表值: "mhfp"
類型: REG_SZ
值:"Mhfp"
描述: 服務描述
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\Mhfp\Description]
註冊表值: "DisplayName"
類型: REG_SZ
值:"Mhfp"
描述: 服務描趨講閥述
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\Mhfp\DisplayName]
註冊表值: "DisplayName"
類型: REG_SZ
值:" Mhfp"
描述: 服務名稱
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\Mhfp\ErrorControl]
註冊表值: "ErrorControl"
類淚只閥趨型: REG_SZ
值:"DWORD: 1 (0x1)"
描述: 服務控制
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\Mhfp\ImagePath]
註冊表值: "ImagePath"
類型: REG_SZ
值:" \??\C:\DOCUME~1\a\LOCALS~1\Temp\~wxp2ins.234.tmp"
描述: 服務映像檔案的啟動路徑
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\Mhfp\Start]
註冊表值: "Start"
類型: REG_SZ
值:"DWORD: 3 (0x3)"
描述: 服務的啟動方式,手動
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\Mhfp\Type]
註冊表值: "Type"
類型: REG_SZ
值:"DWORD: 3 (0x3)"
描述: 服務類型
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows NT\CurrentVersion
\Image File Execution Options\被映像劫持的檔案名稱稱]
新建鍵值: "Debugger"
類型: REG_SZ
字元串: “C:\WINDOWS\system32\svchost.exe”
劫持檔案名稱列表:
360rpt.exe、360safebox.exe、360tray.exe、adam.exe、
AgentSvr.exe、AppSvc32.exe、ati2evxx.exe、autoruns.exe、
avconsol.exe、avgrssvc.exe、AvMonitor.exe、avp.com、avp.exe、
CCenter.exe、ccSvcHst.exe、egui.exe、esafe.exe、FileDsty.exe、
FTCleanerShell.exe、HijackThis.exe、IceSword.exe、idag.exe、
Iparmor.exe、isPwdSvc.exe、kabaload.exe、kaccore.exe、
KaScrScn.SCR、KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、
KAVPF.exe、KAVPFW.exe、KAVSetup.exe、KAVStart.exe、kavsvc.exe、
KAVsvcUI.exe、KISLnchr.exe、kissvc.exe、KMailMon.exe、
KMFilter.exe、KPFW32.exe、kpfwsvc.exe、KPPMain.exe、KRegEx.exe、
KRepair.com、KsLoader.exe、KVCenter.kxp、KvDetect.exe、
KVFW.EXE、KvfwMcl.exe、KVMonXP_1.kxp、kvol.exe、kvolself.exe、
KvReport.kxp、KVScan.kxp、KVsrvXP.exe、KVStub.kxp、kvupload.exe、
KVwsc.exe、kwatch.exe、KWatch9x.exe、KWatchX.exe、MagicSet.exe、
mcconsol.exe、mmqczj.exe、mmsk.exe、navapsvc.exe、Navapw32.exe、
nod32krn.exe、NPFMntor.exe、OllyDBG.EXE、OllyICE.EXE、PFW.exe、
PFWLiveUpdate.exe、procexp.exe、QHSET.exe、qqdoctor.exe、qqkav.exe、
qqsc.exe、Ras.exe、rav.exe、rav.exe、RAVmon.exe、RAVmonD.exe、
ravstub.exe、ravtask.exe、ravtimer.exe、ravtool.exe、RegClean.exe、
regtool.exe、rfwmain.exe、FYFireWall.exe、rfwproxy.exe、
FYFireWall.exe、rfwsrv.exe、rfwstub.exe、rising.exe、Rsaupd.exe、
runiep.exe、safebank.exe、safeboxtray.exe、safelive.exe、
scan32.exe、shcfg32.exe、SmartUp.exe、SREng.EXE、symlcsvc.exe、
SysSafe.exe、TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、
UIHost.exe、UIHost.exe、UmxAgent.exe、UmxAttachment.exe、
UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、UpLive.exe、vsstat.exe、
webscanx.exe、WinDbg.exe、WoptiClean.exe
4、遍歷System32目錄查找\s*st.exe的檔案,找到svchost.exe檔案後,創建一個進程並調用ReadProcessMemory函式讀寫該進程記憶體,調用ZwUnmapViewOfSection獲取當前進程映射的基址,然後調用WriteProcessMemory函式對記憶體地址寫入病毒數據,連線網路讀取列表下載大量惡意檔案並運行。
網路行為:
1、協定:TCP
連線埠:80
IP位址:121.10.107.**
描述:連線伺服器讀取TXT列表內容下載病毒,讀取的列表內容:
[5]
20080512 http://www.ibmle****.net.cn/down/e1.exe
20080512 http://www.ibmle****.net.cn/down/r2.exe
20080512 http://www.ibmle****.net.cn/down/a3.exe
20080512 http://www.ibmle****.net.cn/down/j4.exe
20080512 http://www.ibmle****.net.cn/down/y5.exe
20080512 http://www.ibmle****.net.cn/down/m6.exe
20080512 http://www.ibmle****.net.cn/down/r7.exe
20080512 http://www.ibmle****.net.cn/down/i8.exe
20080512 http://www.ibmle****.net.cn/down/x9.exe
20080512 http://www.ibmle****.net.cn/down/l10.exe
20080512 http://www.li****.cn/down/b11.exe
20080512 http://www.li****.cn/down/z12.exe
20080512 http://www.li****.cn/down/m13.exe
20080512 http://www.li****.cn/down/n14.exe
20080512 http://www.li****.cn/down/o15.exe
20080512 http://www.li****.cn/down/g16.exe
20080512 http://www.li****.cn/down/j17.exe
20080512 http://www.li****.cn/down/l18.exe
20080512 http://www.li****.cn/down/c19.exe
20080512 http://www.li****.cn/down/t20.exe
20080512 http://www.mo****.cn/down/p21.exe
20080512 http://www.mo****.cn/down/x22.exe
20080512 http://www.mo****.cn/down/m23.exe
20080512 http://www.mo****.cn/down/o24.exe
20080512 http://www.mo****.cn/down/b25.exe
20080512 http://www.mo****.cn/down/e26.exe
20080512 http://www.mo****.cn/down/v27.exe
20080512 http://www.mo****.cn/down/m28.exe
20080512 http://www.mo****.cn/down/u29.exe
20080512 http://www.mo****.cn/down/h30.exe
20080512 http://www.mo****.cn/down/b31.exe
20080512 http://www.mo****.cn/down/c32.exe
20080512 http://www.mo****.cn/down/u33.exe
20080512 http://www.mo****.cn/down/z34.exe
註: %System32% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System資料夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是C:\Windows\System32
清除方案:
1、使用安天防線可徹底清除此病毒(推薦)
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1)使用ATOOL“進程管理”關閉病毒相關進程。
(2)刪除病毒服務註冊表項:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_MHFP\0000\Service]
鍵值:" Mhfp"
刪除Mhfp鍵值
[HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Services]
鍵值:"Mhfp"
刪除Mhfp鍵值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows NT\CurrentVersion]
鍵值:"Image File Execution Options"
刪除註冊表Image File Execution Options鍵值
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\Mhfp\ImagePath]
註冊表值: "ImagePath"
類型: REG_SZ
值:" \??\C:\DOCUME~1\a\LOCALS~1\Temp\~wxp2ins.234.tmp"
描述: 服務映像檔案的啟動路徑
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\Mhfp\Start]
註冊表值: "Start"
類型: REG_SZ
值:"DWORD: 3 (0x3)"
描述: 服務的啟動方式,手動
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\Mhfp\Type]
註冊表值: "Type"
類型: REG_SZ
值:"DWORD: 3 (0x3)"
描述: 服務類型
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows NT\CurrentVersion
\Image File Execution Options\被映像劫持的檔案名稱稱]
新建鍵值: "Debugger"
類型: REG_SZ
字元串: “C:\WINDOWS\system32\svchost.exe”
劫持檔案名稱列表:
360rpt.exe、360safebox.exe、360tray.exe、adam.exe、
AgentSvr.exe、AppSvc32.exe、ati2evxx.exe、autoruns.exe、
avconsol.exe、avgrssvc.exe、AvMonitor.exe、avp.com、avp.exe、
CCenter.exe、ccSvcHst.exe、egui.exe、esafe.exe、FileDsty.exe、
FTCleanerShell.exe、HijackThis.exe、IceSword.exe、idag.exe、
Iparmor.exe、isPwdSvc.exe、kabaload.exe、kaccore.exe、
KaScrScn.SCR、KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、
KAVPF.exe、KAVPFW.exe、KAVSetup.exe、KAVStart.exe、kavsvc.exe、
KAVsvcUI.exe、KISLnchr.exe、kissvc.exe、KMailMon.exe、
KMFilter.exe、KPFW32.exe、kpfwsvc.exe、KPPMain.exe、KRegEx.exe、
KRepair.com、KsLoader.exe、KVCenter.kxp、KvDetect.exe、
KVFW.EXE、KvfwMcl.exe、KVMonXP_1.kxp、kvol.exe、kvolself.exe、
KvReport.kxp、KVScan.kxp、KVsrvXP.exe、KVStub.kxp、kvupload.exe、
KVwsc.exe、kwatch.exe、KWatch9x.exe、KWatchX.exe、MagicSet.exe、
mcconsol.exe、mmqczj.exe、mmsk.exe、navapsvc.exe、Navapw32.exe、
nod32krn.exe、NPFMntor.exe、OllyDBG.EXE、OllyICE.EXE、PFW.exe、
PFWLiveUpdate.exe、procexp.exe、QHSET.exe、qqdoctor.exe、qqkav.exe、
qqsc.exe、Ras.exe、rav.exe、rav.exe、RAVmon.exe、RAVmonD.exe、
ravstub.exe、ravtask.exe、ravtimer.exe、ravtool.exe、RegClean.exe、
regtool.exe、rfwmain.exe、FYFireWall.exe、rfwproxy.exe、
FYFireWall.exe、rfwsrv.exe、rfwstub.exe、rising.exe、Rsaupd.exe、
runiep.exe、safebank.exe、safeboxtray.exe、safelive.exe、
scan32.exe、shcfg32.exe、SmartUp.exe、SREng.EXE、symlcsvc.exe、
SysSafe.exe、TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、
UIHost.exe、UIHost.exe、UmxAgent.exe、UmxAttachment.exe、
UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、UpLive.exe、vsstat.exe、
webscanx.exe、WinDbg.exe、WoptiClean.exe
4、遍歷System32目錄查找\s*st.exe的檔案,找到svchost.exe檔案後,創建一個進程並調用ReadProcessMemory函式讀寫該進程記憶體,調用ZwUnmapViewOfSection獲取當前進程映射的基址,然後調用WriteProcessMemory函式對記憶體地址寫入病毒數據,連線網路讀取列表下載大量惡意檔案並運行。
網路行為:
1、協定:TCP
連線埠:80
IP位址:121.10.107.**
描述:連線伺服器讀取TXT列表內容下載病毒,讀取的列表內容:
[5]
20080512 http://www.ibmle****.net.cn/down/e1.exe
20080512 http://www.ibmle****.net.cn/down/r2.exe
20080512 http://www.ibmle****.net.cn/down/a3.exe
20080512 http://www.ibmle****.net.cn/down/j4.exe
20080512 http://www.ibmle****.net.cn/down/y5.exe
20080512 http://www.ibmle****.net.cn/down/m6.exe
20080512 http://www.ibmle****.net.cn/down/r7.exe
20080512 http://www.ibmle****.net.cn/down/i8.exe
20080512 http://www.ibmle****.net.cn/down/x9.exe
20080512 http://www.ibmle****.net.cn/down/l10.exe
20080512 http://www.li****.cn/down/b11.exe
20080512 http://www.li****.cn/down/z12.exe
20080512 http://www.li****.cn/down/m13.exe
20080512 http://www.li****.cn/down/n14.exe
20080512 http://www.li****.cn/down/o15.exe
20080512 http://www.li****.cn/down/g16.exe
20080512 http://www.li****.cn/down/j17.exe
20080512 http://www.li****.cn/down/l18.exe
20080512 http://www.li****.cn/down/c19.exe
20080512 http://www.li****.cn/down/t20.exe
20080512 http://www.mo****.cn/down/p21.exe
20080512 http://www.mo****.cn/down/x22.exe
20080512 http://www.mo****.cn/down/m23.exe
20080512 http://www.mo****.cn/down/o24.exe
20080512 http://www.mo****.cn/down/b25.exe
20080512 http://www.mo****.cn/down/e26.exe
20080512 http://www.mo****.cn/down/v27.exe
20080512 http://www.mo****.cn/down/m28.exe
20080512 http://www.mo****.cn/down/u29.exe
20080512 http://www.mo****.cn/down/h30.exe
20080512 http://www.mo****.cn/down/b31.exe
20080512 http://www.mo****.cn/down/c32.exe
20080512 http://www.mo****.cn/down/u33.exe
20080512 http://www.mo****.cn/down/z34.exe
註: %System32% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System資料夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是C:\Windows\System32
清除方案:
1、使用安天防線可徹底清除此病毒(推薦)
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1)使用ATOOL“進程管理”關閉病毒相關進程。
(2)刪除病毒服務註冊表項:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_MHFP\0000\Service]
鍵值:" Mhfp"
刪除Mhfp鍵值
[HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Services]
鍵值:"Mhfp"
刪除Mhfp鍵值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows NT\CurrentVersion]
鍵值:"Image File Execution Options"
刪除註冊表Image File Execution Options鍵值