正文

[病毒资料之一]lspool.exe进程病毒(转)2006-08-13 00:48:00

【评论】 【打印】 【字体: 】 本文链接:http://blog.pfan.cn/fengfei/17527.html

分享到:

病毒资料:W32/MyTob.EO!worm.im
基本信息
病毒名称: W32/MyTob.EO!worm.im 类型: 蠕虫 长度: 71220 威胁级别: 3 捕获日期: 2006-06-20
其它别名: W32/Mytob-IF, WORM_MYTOB.GS, Trojan.Dropper.Mydoom 影响系统: Windows 9X,Windows 2K,Windows XP
表现特征
1、系统目录 %SYSTEM% 下存在文件 lspool.exe;
2、系统进程列表中存在一个 lspool.exe 进程;
3、如果安装有防火墙,则会提示该进程试图访问外部网络;
行为分析
这是一个 Dropper,大小为 71,220 字节,运行时释放出文件 %TEMP%\temp.exe 并执行,此文件是个恶意
程序,Fortinet 命名为 W32/Mytob.IF@mm,其行为分析如下:

1、这是一个 PE 病毒,大小为 65,536 字节;

2、创建有名互斥量 "gfbgslkvtgf",防止多个相同病毒进程被运行;

3、将自身拷贝为 %SYSTEM%\lspool.exe 并在注册表路径:

     HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
     HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

   下创建自启动项:

     "Local Spooler" = "lspool.exe"

4、添加注册表项:

     HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
       "DisableTaskMgr" = "dword:4"

   禁用任务管理器;

5、在 Microsoft Windows Address Book 和后缀名为如下字符串的文件中查找符合条件的电子邮件地址
   发送邮件:

     txt, htm, sht, jsp, cgi, xml, php, asp, dbx, tbb, adb, pl, html, wab

   病毒不会使用包含下列字符串的邮件地址:

     yourname
     spm
     fcnz
     www
     secur
     abuse
     mcafee
     symantec
     sophos
     bitdefender
     avg
     kaspersky
     avast
     nod32
     vba32
     antivir
     avira
     cat-quickheal
     clamav
     drweb
     f-prot
     etrust
     fortinet
     ikarus
     norman
     panda
     thehacker
     ewido

   病毒会把下列前缀之一附加到邮件域名前作为发送邮件服务器地址:

     mx.
     mail.
     smtp.
     mx1.
     mxs.
     mail1.
     relay.
     ns.
     gate.

   病毒邮件具有如下特点:

   Body:

   Dear Valued Member,

   According to our terms of services, you will have to confirm your e-mail by the following 
   link, or your account will be suspended within 24 hours for security reasons.

   http://www.[DOMAIN]/confirm.php?account=[ACCOUNT]

   After following the instructions in the sheet, your account will not be interrupted and will
   continue as normal.
   Thanks for your attention to this request. We apologize for any inconvenience.

   Sincerely, [STRING] Abuse Department

   注:邮件为 HTML 格式,上述链接的真实地址为:
         http://211.97.{此处被屏蔽}/Confirmation_Sheet.pif;

6、连接IRC服务器(mail.thinki.co.uk:8585)并加入频道"#mail0r",从而打开一个后门,远程攻击者可以通过
   这个后门在被感染机器上执行如下命令:

     1)获得操作系统版本等系统信息
     2)下载并执行任意程序
     3)终止病毒程序并删除病毒自启动项
     4)启动 HTTP, SOCKS4 代理服务
     5)运行或终止任何程序
清除方法
1、关闭病毒进程,删除病毒文件,若任务管理器无法打开,则使用第三方工具;
2、删除病毒添加的注册表项,恢复病毒修改的键值;
3、由于该病毒会下载其它程序运行,建议使用杀毒软件彻底扫描整个系统;
防范措施
1、安装防火墙软件,禁止不明程序访问外部网络;
2、不要轻易打开来历不明的邮件;
3、经常更新FortiGate防火墙的病毒特征库,必要时允许服务器推送式升级;

 

PS: 希望大家不要象我那样去杀毒了。。。  杀的系统都被杀掉了。。饿饿。。

阅读(3415) | 评论(0)


版权声明:编程爱好者网站为此博客服务提供商,如本文牵涉到版权问题,编程爱好者网站不承担相关责任,如有版权问题请直接与本文作者联系解决。谢谢!

评论

暂无评论
您需要登录后才能评论,请 登录 或者 注册