基本介紹
病毒標籤,病毒描述,行為分析,本地行為,網路行為,清除方案,
病毒標籤
病毒名稱: Worm.Win32.Skipi.b
病毒類型: 蠕蟲
檔案MD5: 9fc5fad65fb0dae7b5370607d103aa80
公開範圍: 完全公開
危害等級: 5
檔案長度: 188,416位元組
感染系統: Windows98以上版本
開發工具: Microsoft Visual C++ 7.0
加殼類型: 無殼
病毒描述
該病毒為蠕蟲類,實際為一個擴展名是scr圖示偽裝成JPG圖示的執行檔;運行後會在系統資料夾下衍生4個病毒副本,並打開系統資料夾下的Soap Bubbles.bmp圖片;通過Skype軟體傳送誘惑訊息傳播;修改主機host檔案,禁止安全軟體相關網站
行為分析
本地行為
1、病毒運行後複製自身到系統目錄%system32%下:
%system32%\mshtmldat32.exe
%system32%\sdrivew32.exe
%system32%\winlgcvers.exe
%system32%\wndrivs32.exe
2、修改註冊表,添加啟動項,以達到隨機啟動的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
鍵值: 字串: "Services Start"="mshtmldat32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
鍵值: 字串: 0022Windows Sys"="explorer.exe mshtmldat32.exe"
3、病毒運行後打開%windir%目錄下的圖片Soap Bubbles.bmp。
4、wndrivs32.exe以子進程的方式注入到系統進程explorer.exe中,並間隔6000ms查看一次wndrivs32.exe進程,如關閉則重新啟動。
網路行為
1、通過Skype傳送以下誘惑文字誘使用戶執行病毒:
pala biski
as net nezinau ka tavo vietoj daryciau. :S
matai :D
;) geras ane ? patinka ?
kas cia tavim taip isderge ? =]]
cia tu isimetei?
cia biski su photoshopu pazaidziau bet bet irgi gerai atrodai :D
zek kur tavo foto metos isdergta
(mm) kaip as taves noriu
ziurek kur tavo foto imeciau :D esi?
labas this (happy) sexy one
what ur friend name wich is in photo ?
u happy ?
oh sry not for u
oops sorry please don't look there :S
you checked ? :D
(rofl) (devil) :) really funny
now u populr
haha lol
I used photoshop and edited it
look what crazy photo Tiffany sent to me,looks cool where I put ur
photo :D
your photos looks realy nice
look
hey how are u ? :)
2、該病毒通過Skype文字聊天工具進行傳播。
3、修改主機host檔案,禁止安全軟體相關網站
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 當前用戶TEMP快取變數
%Windir%\ WINDODWS所在目錄
%DriveLetter%\ 邏輯驅動器根目錄
%ProgramFiles%\ 系統程式默認安裝目錄
%HomeDrive% = C:\ 當前啟動的系統的所在分區
%Documents and Settings%\ 當前用戶文檔根目錄
清除方案
1、使用木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
wndrivs32.exe
關閉系統進程explorer.exe,並重啟explorer.exe進程
(2) 刪除病毒檔案
%system32%\mshtmldat32.exe
%system32%\sdrivew32.exe
%system32%\winlgcvers.exe
%system32%\wndrivs32.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
鍵值: 字串: 0022Windows Sys"="explorer.exe mshtmldat32.exe"