正文

[病毒资料之五]srfbryrg.exe进程病毒2006-08-15 00:11:00

【评论】 【打印】 【字体: 】 本文链接:http://blog.pfan.cn/fengfei/17581.html

分享到:

病毒资料:W32/Padobot.M-net
基本信息
病毒名称: W32/Padobot.M-net 类型: 蠕虫 长度: 9728 威胁级别: 2 捕获日期: 2006-03-08
其它别名: Net-Worm.Win32.Padobot.m,W32/Korgo.worm.v virus,WORM_KORGO.V 影响系统: MS-Windows
表现特征
1. %SYSTEM% 目录下存在类似 srfbryrg.exe 的名字为随机字母的文件;
2. Windows Security Manager 和 WinUpdate 被关闭。
行为分析
1. 这是一个 PE 文件,使用一种不常见的壳和 UPX 双重加密,加密后长度为 9,728 字节,无附加数据;

2. 试图删除 ftpupd.exe 文件;

3. 创建有名互斥量 uterm19 ;

4. 试图终止下列进程:
      
      Windows Update
      MS Config v13
      avserve2.exeUpdate Service
      avserve.exe
      Windows Update Service
      WinUpdate
      SysTray
      Bot Loader
      System Restore Service
      Disk Defragmenter
      Windows Security Manager

   并删除上述进程在注册表项

      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

   下的自启动项;

5. 拷贝自身到 %SYSTEM%\{RANDOM}.exe,可能在注册表项
      
       HKLM\Software\Microsoft\Wireless 
   
   下面创建子键

       " ID " = " fgnsdrjyrsert "
   
   在注册表项

       HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

   下面创建子键
  
       " Client " = " 1 "(UNICODE)
       " Cryptographic Service " = " %SYSTEM%\{RANDOM}.exe "

6. 随即选择用户正在使用的进程,并注入一段恶意代码,其行为如下:

      a) 可能创建有名互斥量 u8 和 uterm19;

      b) 开启一个 TCP 后门,端口随机,允许远程的恶意操作;

      c) 连接下列地址:

              www.redline.ru
              filesearch.ru
              roboxchange.com
              fethard.biz
              asechka.ru
              master-x.com
              color-bank.ru
              kavkaz.tv
              crutop.nu
              kidos-bank.ru
              parex-bank.ru
              adult-empire.com
              konfiskat.org
              citi-bank.ru
              xware.cjb.net
              mazafaka.ru
              ...
          
         试图下载文件并执行;

      d) 试图通过建立 IPC 连接和 漏洞(Microsoft Security Bulletin MS04-011)来传播自身。
清除方法
1. 打开任务管理器,结束病毒注入的进程;
2. 删除相关的病毒文件;
3. 打开注册表编辑器,删除病毒的注册表相关项;
4. 建议更新防毒软件病毒库至最新,全盘扫描系统;
5. 打好相应的漏洞补丁。

阅读(3280) | 评论(0)


版权声明:编程爱好者网站为此博客服务提供商,如本文牵涉到版权问题,编程爱好者网站不承担相关责任,如有版权问题请直接与本文作者联系解决。谢谢!

评论

暂无评论
您需要登录后才能评论,请 登录 或者 注册