天高云淡

危险等级：★★★病毒名称：Worm.Mail.Win32.VB.cc截获时间：2007-10-10入库版本：19.44.32类型：蠕虫病毒
感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：中
全球化传播态势：困难
破坏力：高
破坏手段：邮件优盘传播
这是一个VB编写的Worm病毒，采用nspack程序进行保护。病毒文件伪装成Kingsoft AntiVirus软件，试图欺骗用户去点击运行。该病毒是集点击网站，下载病毒，利用邮件和优盘传播为一身多功能病毒。
1.病毒运行后首先会去查找c盘根目录下是否存在KAV32.exe,假如不存在将自身复制到该路径下。
2.病毒遍历本地所有存储设备,向可移动存储设备中,写入病毒本身KAV.exe和autorun.inf.其中autorun.inf的内容为: [AutoRun]open=”KAV32.exe”
3.查找OUTLook邮箱中的好友列表，然后把指定的网址http://ken23409.3322.org/index.htm发送给对方。
4.添加修改以下注册表项：
(1) HKEY_CLASSES_ROOT\.reg (默认) = TXTFILE （txtfile为默认的.txt文件打开、编辑方式，修改后将.reg文件当成.txt来处理）。
(2) HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\policies\system “disableregistrytools” = 0X00000001 （禁用注册表编辑器）
[…]

[Read more →]

危险等级：★★★病毒名称：Worm.Win32.Autorun.j截获时间：2007-10-15入库版本：19.45.02类型：病毒
感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：高
全球化传播态势：低
破坏力：高
清除难度：困难
破坏手段：从列表中下载病毒，偷盗用户敏感信息，通过可移动存储设备进行传播。
这是一个蠕虫病毒.利用Upack加壳程序进行保护. 病毒运行后,先利用GetCommandLine获得病毒运行时的参数,分别和”-down”,”-run”去比较,假如病毒在运行时没有附加参数,则先进行病毒的初始化工作。病毒先利用GetSystemDirectory获得当前系统的%SYSTEM32%目录，再进行字符连接得到”%SYSTEM32%\wnipsvr.exe”,使用 CopyFile把病毒复制到%SYSTEM32%目录中，并改名为wnipsvr.exe。然后病毒利用CreateService,创建一个值名为”NetworSVA”的服务，其服务的描述为”答应对TCP/IP上NetBios服务以及NetBT名称解析的支持.”,服务的数据为”%SYSTEM32%\wnipsvr.exe -run”。病毒还会再连接出一组”cmd.exe /c %SYSTEM32%\wnipsvr.exe -down”的字符串，使用WinExec进行调用。病毒会向本地所有磁盘内写入autorun.inf和hide.exe(病毒本身),来达到传播和自启动的目的.进行完上述操作后，病毒会在系统内以两种不同的参数方式存在，一种是以参数”-down”，一种是以参数”-run”分别进行启动。下面我们来看一下这两种启动方式后的病毒都会进行什么操作。
一、以”-down”参数启动的病毒：
病毒会读取注册表Software\Microsoft\Windows\CurrentVersion\App Paths\IEXPLORE.EXE的键值找到Iexplore.exe的路径，假如注册表内没有此键值，则默认路径为”C:\Program Files\Internet Explorer\IEXPLORE.EXE”.病毒会利用Winexec去启动一个IE,接着就会利用FindWindow和GetWindowThreadProcessId来得到该进程的PID,再用OpenProcess打开该进程,用VirtualAlloc申请一段内存空间,利用WriteProcessMemory写入病毒代码,再使用CreateRemoteThread启动该病毒代码.该段病毒代码的作用就是利用URLDownloadToFile下载”http://pu.pumaXXX.com/ad.txt”这个文件并保存到”c:\Program Files\ini.ini”中.再使用WinExec将该文件启动起来.然后病毒会遍历系统内所有进程,查找”kvsrvxp.exe”,”RavMon.exe”, “kavstart.exe”,这三个进程,一旦发现,则向这些进程发送WM_COMMAND消息关闭这些进程.之后,病毒会用相同的手法,再启动一个IE,同样的去向该进程写入远程代码并调用,不过这次的代码下载的内容有所变化,这次下载的文件为:“http://pu.pumaXXX.com/1630.exe”“http://pu.pumaXXX.com/1631.exe”“http://pu.pumaXXX.com/1632.exe”“http://pu.pumaXXX.com/1633.exe”“http://pu.pumaXXX.com/1634.exe”“http://pu.pumaXXX.com/1635.exe”“http://pu.pumaXXX.com/1636.exe”“http://pu.pumaXXX.com/1637.exe”“http://pu.pumaXXX.com/1638.exe”“http://pu.pumaXXX.com/1639.exe”“http://pu.pumaXXX.com/163a.exe”“http://pu.pumaXXX.com/163b.exe”“http://pu.pumaXXX.com/163c.exe”“http://pu.pumaXXX.com/163d.exe”“http://pu.pumaXXX.com/163e.exe”“http://pu.pumaXXX.com/163f.exe”“http://pu.pumaXXX.com/163g.exe”“http://pu.pumaXXX.com/163h.exe”“http://pu.pumaXXX.com/163i.exe”“http://pu.pumaXXX.com/163j.exe”“http://pu.pumaXXX.com/163k.exe”
分别保存在””c:\Program Files\”目录中,命名为”pro1.exe”至”pro21.exe”
再把这些下载好的病毒路径和”cmd.exe /c”连接起来,利用WinExec启动.
二、以”-run”参数启动的病毒：
这个就比较简单了,以”-run”为参数启动,就是得到%SYSTEM32%目录,利用字符串连接得到”cmd.exe /c %SYSTEM32%\wnipsvr.exe -down”来启动病毒.
[…]

[Read more →]

危险等级：★★★病毒名称：Worm.Win32.Autorun.irk截获时间：2007-10-16入库版本：19.45.12类型：病毒
感染的操作系统： Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：低
全球化传播态势：低
破坏力：低
清除难度：困难
破坏手段：共享用户的磁盘，通过可移动存储设备进行传播。
此程序为worm类型程序
1.病毒会向本地所有磁盘内写入autorun.inf和 病毒本身,来达到传播和自启动的目的；并通过SetFileAttributes函数给他们设置隐藏和系统属性。由于设置了系统属性使得用户在使用简单显示隐藏文件功能无法显示该病毒。Autorun.inf的内容如下：[Autorun]open=*t.exeshell\open=打开(&O)shell\open\Command=*.exe /nshell\explore=资源治理器(&X)Shell\explore\Command=*.exe /n,/e这样用户采取点击鼠标右键选择打开和选择资源治理器浏览该磁盘就会运行该病毒。
2.调用net localgroup administrators guest /add命令把guest加入治理员组，使其具有治理员的权限，调用net user guest “”将guest帐号的密码设置为空，调用net user guest /active激活guest帐号；
3.调用net share c$=c:\共享用户c盘。这样就做到了通过共享文件夹来传播自己，并且由于guest用户没有密码并且具有治理员权限，给用户带来了更大安全隐患。
安全建议：
1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件天天至少升级三次。
2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。
[…]

[Read more →]

危险等级：★★★病毒名称：Worm.Win32.Autorun.isg截获时间：2007-10-23入库版本：19.46.20类型：病毒
感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：低
全球化传播态势：低
破坏力：低
清除难度：困难
此程序为Worm类型程序
将自身复制到磁盘分区根目录命名为AutoRun.exe，并写入与之对应的autorun.inf。实现用户打开磁盘就运行该病毒和通过可移动介质传播的目的。
查找Explorer.exe进程。复制病毒代码到该进程，并执行该病毒代码。该病毒代码下载指定的程序文件，地址如下：http://www.dxj520.cn/down/1.exe、http://www.dxj520.cn/down/20.exe等（共20个）。同时，下载http://www.dxj520.cn/down/down.exe至C:\\Program Files\\Internet Explorer\\ down.exe，并通过增加注册表项将其设为开机自动启动，具体键值如下：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunSVCH0ST = “C:\Program Files\Internet Explorer\down.exe”将代码放到Explorer.exe进程中去执行主要是为了突破部分防火墙的保护。
对抗杀毒软件：
1）、查找并结束下列安全软件进程：“Kav.exe””kav32.exe””RAVMON.exe””KavPFW.exe””RavTask.exe””
“KVMonXP.exe””RavService.exe””avp.exe””Rav.exe””QQDoctor.exe”等。
2）、调用WinExec执行如下命令：“cmd /cnet stop srservice”“cmd /csc config srservice start= disabl”…“cmd /cnet stop sharedaccess”“cmd /cnet stop kvwsc”“cmd […]

[Read more →]

危险等级：★★★病毒名称：Worm.Win32.Dolod.a截获时间：2007-10-23入库版本：19.46.20类型：病毒
感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：低
全球化传播态势：低
破坏力：低
清除难度：困难
破坏手段：下载执行恶意程序，通过可移动磁盘和网络传播。
此程序为蠕充程序，主要通过可移动介质和网络共享传播，同时会下载并执行其他程序。
1、该程序运行后复制%System%\urlmon.dll到%System%\DirectX10.dll。启动iexplore.exe进程并向其注入病毒代码，然后执行该病毒代码。该病毒代码的主要功能是下载并运行指定的程序。由于在iexplore.exe进程中进行的下载操作，所以可以穿透防火墙。
2、复制自身到磁盘根目录，命名为IO.pif。并创建与之对应autorun.inf文件。Autorun.inf具体内容如下：[AutoRun]open=IO.pifshellexecute=IO.pifshell\\Auto\\command=IO.pif实现打开磁盘而自动运行病毒、通过可移动存储设备进行传播的目的。
3、该程序会枚举网络的共享资源，并试图将自身复制过去。以达到传播的目的。
对抗安全软件： 1）、查找安全程序的窗口，并向其发送WM_QUIT消息试图让安全软件退出。查找的一些安全软件窗口标题有：“瑞星个人防火墙下载版”“Symantec AntiVirus 企业版”“天网防火墙个人版”“天网防火墙企业版”等。 2）、调用WinExec执行如下命令： Net Stop Norton Antivirus Auto Protect Service Net Stop mcshield […]

[Read more →]

危险等级：★★★病毒名称：Worm.Win32.DiskGen.a截获时间：2007-10-24入库版本：19.46.30类型：病毒
感染的操作系统： Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：低
全球化传播态势：低
破坏力：低
清除难度：困难
破坏手段：感染应用程序文件
此程序为Wrom类型程序
病毒运行后，会把自己复制到%system32%、%system32%\com目录下，文件名为：lass.exe文件属性设为隐藏。
建立一个dghauweugsdgerh互斥量，保证进程中只有一个病毒在运行。
病毒会释放2个文件来辅助病毒运行smss.exe、netcfg.dll，用来实现双进程保护，当用户去结束进程时，必须把smss.exe 跟 lass.exe同时结束，否则的话，其中的任何一个程序会把别一个进程自动启动。
病毒会修改注册表项， HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced ShowSuperHidden” = 0×00000000，当用户用Explorer.Exe查看文件时，将看不到隐藏的文件， 这样就简单的实现了文件隐藏的功能。
病毒的传播：
当病毒运行后，会遍历每个磁盘，在每个磁盘根目录下建立一个autorun.inf，并把自己复制到每个磁盘根目录下，命名为：pagefile.pif。当用我的电脑双击磁盘打开、点击磁盘自动播放或在运行中直接输入盘符进入磁盘时病毒会自动运行。
autorun.inf文件内容如下：[AutoRun]open=pagefile.pifshell\open=打开(&O)shell\open\Command=pagefile.pifshell\open\Default=1shell\explore=资源治理器(&X)shell\explore\Command=pagefile.pif
病毒遍历C盘以后的每个磁盘，对每个磁盘的EXE文件进行感染。感染后的程序，运行后会先运行病毒，然后运行用户的EXE文件。
安全建议：
1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件天天至少升级三次。
[…]

[Read more →]