郵件蠕蟲(chóng)
Email-Worm.Win32.Bagle.adk
捕獲時(shí)間
2012-07-11
危害等級(jí)
中
病毒癥狀
該樣本是使用“C/C ”編寫(xiě)的“郵件蠕蟲(chóng)”�,由微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲,采用“UPX”加殼方式����,企圖躲避特征碼掃描,加殼后長(zhǎng)度為長(zhǎng)度為“19,711” 字節(jié)��,圖標(biāo)為“
”,病毒擴(kuò)展名為“.exe”��,病毒主要通過(guò)“郵件”����、“下載器下載”���,“網(wǎng)頁(yè)掛馬”等方式傳播���。
用戶中毒后�����,會(huì)出現(xiàn)系統(tǒng)運(yùn)行緩慢���、自動(dòng)發(fā)送病毒郵件����,存在大量未知可疑進(jìn)程�����、網(wǎng)絡(luò)堵塞等現(xiàn)象����。
感染對(duì)象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁����、網(wǎng)頁(yè)掛馬、下載器下載
防范措施
已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶�,無(wú)須任何設(shè)置���,微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞�����。無(wú)論您是否已經(jīng)升級(jí)到最新版本,微點(diǎn)主動(dòng)防御都能夠有效清除該病毒�。
如果您沒(méi)有將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版����,微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“未知木馬”���,請(qǐng)直接選擇刪除處理(如圖1)
圖1 微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲未知病毒(未升級(jí))
如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版本��,微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)木馬"Email-Worm.Win32.Bagle.adk”���,請(qǐng)直接選擇刪除(如圖2)�。
圖2 微點(diǎn)主動(dòng)防御軟件升級(jí)后截獲已知病毒
未安裝微點(diǎn)主動(dòng)防御軟件的手動(dòng)解決辦法:
1.結(jié)束"windspl.exe"���、"regisp32.exe"等病毒進(jìn)程
2.刪除文件:
"%SystemRoot%\system32\windspl.exe"
"%SystemRoot%\system32\windspl.exeopen"
"%SystemRoot%\system32\windspl.exeopenopen"
"%SystemRoot%\regisp32.exe"
"%Temp%\wintuidsl.tmp(文件名隨機(jī))"
"*shar*"目錄下"ACDSee 9.exe"���、"Adobe Photoshop 9 full.exe"��、"Ahead Nero 7.exe"、"Kaspersky Antivirus 5.0"、"KAV 5.0"�����、"Matrix 3 Revolution English Subtitles.exe"���、"Microsoft Office 2003 Crack, Working!.exe"���、"Microsoft Office XP working Crack,
Keygen.exe"�、"Microsoft Windows XP, WinXP Crack, working Keygen.exe"、"Opera 8 New!.exe""Porno pics arhive, xxx.exe"、
"Porno Screensaver.scr"、"Porno, sex, oral, anal cool, awesome!!.exe"、"Serials.txt.exe"���、"WinAmp 5 Pro Keygen Crack
Update.exe"、"WinAmp 6 New!.exe"、"Windown Longhorn Beta Leak.exe"�、"Windows Sourcecode update.doc.exe"��、"XXX hardcore
images.exe"
3.刪除鍵值項(xiàng):
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\DsplObjects"
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\ FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\regisp32.exe"
4.恢復(fù)鍵值項(xiàng):
"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"、"HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"下鍵值項(xiàng):
"My AV"、"Zone Labs Client Ex"、"9XHtProtect"���、"Antivirus"、"Special Firewall Service"、"service"��、"Tiny AV"�、"ICQNet"、 "HtProtect"、"NetDy"����、"Jammer2nd"�����、"FirewallSvr"、"MsInfo"、"SysMonXP"、"EasyAV"����、 "PandaAVEngine"�����、"Norton Antivirus AV"���、"KasperskyAVEng"、"SkynetsRevenge"、"ICQ Net"。
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū)�,通常為“C:\”
%SystemRoot% WINDODWS所在目錄���,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄���,通常為“C:\Documents and Settings”
%Temp% 臨時(shí)文件夾���,通常為“C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認(rèn)安裝目錄�,通常為:“C:\ProgramFiles”
病毒分析:
1.創(chuàng)建名字為"MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D"����、"[SkyNet.cz]SystemsMutex"、"AdmSkynetJklS003"等多個(gè)互斥對(duì)象。
2.刪除注冊(cè)表鍵
"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"��、"HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"下鍵值項(xiàng):
"My AV"��、"Zone Labs Client Ex"�、"9XHtProtect"���、"Antivirus"�、"Special Firewall Service"、"service"����、"Tiny AV"����、"ICQNet"�����、 "HtProtect"、"NetDy"���、"Jammer2nd"、"FirewallSvr"�、"MsInfo"��、"SysMonXP"、"EasyAV"�����、 "PandaAVEngine"�����、"Norton Antivirus AV"����、"KasperskyAVEng"��、"SkynetsRevenge"�、"ICQ Net"�����。
3.提升前進(jìn)程權(quán)限為"SeDebugPrivilege(調(diào)試特權(quán)級(jí))"��。
4.設(shè)置鍵值項(xiàng)"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\DsplObjects" = "C:\WINDOWS\system32\windspl.exe",實(shí)現(xiàn)病毒開(kāi)機(jī)自啟動(dòng)��。
5.獲取系統(tǒng)目錄�,判斷當(dāng)前模塊是否為"C:\WINDOWS\system32\windspl.exe",不是則將病毒文件拷貝重命名為"C:\WINDOWS\system32\windspl.exe"��,并執(zhí)行該文件�。
6.病毒文件"C:\WINDOWS\system32\windspl.exe"運(yùn)行之后:
(1)創(chuàng)建新線程���,訪問(wèn)網(wǎng)址"http://i**.t35.com/"��。
(2)獲取系統(tǒng)目錄�,創(chuàng)建文件"C:\WINDOWS\regisp32.exe"�,寫(xiě)入病毒數(shù)據(jù)并執(zhí)行。
(3)將文件"C:\WINDOWS\system32\windspl.exe"拷貝重命名為"C:\WINDOWS\system32\windspl.exeopen"���,將"C:\WINDOWS\system32\windspl.exeopen"拷貝重命名為"C:\WINDOWS\system32\windspl.exeopenopen"。
(4)開(kāi)辟新線程,創(chuàng)建套接字,監(jiān)聽(tīng)網(wǎng)絡(luò)連接請(qǐng)求。
(5)遍歷所有非可移動(dòng)磁盤��,查找名字帶有"shar"字樣的目錄,并將自身拷貝到該目錄下重命名為:
"ACDSee 9.exe"���、"Adobe Photoshop 9 full.exe"、"Ahead Nero 7.exe"����、"Kaspersky Antivirus 5.0"����、"KAV 5.0"�、"Matrix 3
Revolution English Subtitles.exe"、"Microsoft Office 2003 Crack, Working!.exe"����、"Microsoft Office XP working Crack,
Keygen.exe"�、"Microsoft Windows XP, WinXP Crack, working Keygen.exe"�、"Opera 8 New!.exe""Porno pics arhive, xxx.exe"、
"Porno Screensaver.scr"��、"Porno, sex, oral, anal cool, awesome!!.exe"����、"Serials.txt.exe"、"WinAmp 5 Pro Keygen Crack
Update.exe"�����、"WinAmp 6 New!.exe"��、"Windown Longhorn Beta Leak.exe"、"Windows Sourcecode update.doc.exe"、"XXX hardcore
images.exe"等病毒文件���。
(6)讀取后綴為".wab"".txt"".msg"".htm"".shtm"".stm"".xml"".dbx"".mbx"".mdx"".eml"".nch"".mmf"".ods"".cfg" ".asp"".php" ".pl"".wsh"".adb"".tbb"".sht"".xls"".oft"".uin"".cgi"".mht"".dhtm"".jsp"文件中的郵箱地址信息,并判斷是否為"@hotmail"、"@msn"����、"@microsoft"����、"rating@"�����、"f-secur"���、"news"�、"update"���、"anyone@"���、"bugs@"����、"contract@"、"feste"、"gold-certs@"����、"help@"、"info@"��、"nobody@"�、"noone@"、"kasp"�����、"admin"�、"icrosoft"、 "support"����、"ntivi"����、"unix"�、"bsd"、"linux"���、"listserv"�、"certific"���、"sopho"���、"@foo"��、"@iana"�、 "free-av"���、"@messagelab"�、"winzip"、"google"、"winrar"����、"samples"、"abuse"��、"panda"�����、 "cafee"���、"spam"�、"pgp"�����、"@avp."����、"noreply"����、"local"、"root@"���、"postmaster@"如果不是則發(fā)送病毒郵件到搜索到的郵箱地址。
(7)循環(huán)設(shè)置注冊(cè)表鍵值項(xiàng)"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DsplObjects" = "C:\WINDOWS\system32\windspl.exe"�,實(shí)現(xiàn)病毒開(kāi)機(jī)自啟動(dòng)�。
7."C:\WINDOWS\regisp32.exe"運(yùn)行之后:
(1)創(chuàng)建互斥對(duì)象"bagla_super_downloader_1000"�����,防止重復(fù)執(zhí)行��。
(2)添加病毒到防火墻訪問(wèn)允許列表"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\ FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\regisp32.exe"= "C:\WINDOWS\regisp32.exe:*:Enabled:ipsec"。
(3)創(chuàng)建新線程�����,讀取網(wǎng)絡(luò)數(shù)據(jù):
"http://do**.zoo.by/"
"http://de**t.zoo.com/"
"http://mypho***ool.t235.com/"
"http://ijj.***5.com/"
"http://209.*6.**.230/. /pr"
"http://noshit.fa***ack.com/"
分別寫(xiě)入到文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wintuidsl.tmp(文件名隨機(jī))"���,之后創(chuàng)建新進(jìn)程執(zhí)行該些文件����。
病毒創(chuàng)建文件:
"%SystemRoot%\system32\windspl.exe"
"%SystemRoot%\system32\windspl.exeopen"
"%SystemRoot%\system32\windspl.exeopenopen"
"%SystemRoot%\regisp32.exe"
多個(gè)"%Temp%\wintuidsl.tmp(文件名隨機(jī))"
"*shar*"目錄下"ACDSee 9.exe"���、"Adobe Photoshop 9 full.exe"��、"Ahead Nero 7.exe"���、"Kaspersky Antivirus 5.0"�����、"KAV 5.0"、"Matrix 3 Revolution English Subtitles.exe"����、"Microsoft Office 2003 Crack, Working!.exe"�����、"Microsoft Office XP working Crack,
Keygen.exe"����、"Microsoft Windows XP, WinXP Crack, working Keygen.exe"�、"Opera 8 New!.exe""Porno pics arhive, xxx.exe"、
"Porno Screensaver.scr"����、"Porno, sex, oral, anal cool, awesome!!.exe"、"Serials.txt.exe"、"WinAmp 5 Pro Keygen Crack
Update.exe"����、"WinAmp 6 New!.exe"����、"Windown Longhorn Beta Leak.exe"����、"Windows Sourcecode update.doc.exe"、"XXX hardcore
images.exe"
病毒創(chuàng)建注冊(cè)表:
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\DsplObjects"
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\ FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\regisp32.exe"
病毒訪問(wèn)網(wǎng)絡(luò):
"http://do**.zoo.by/"
"http://de**t.zoo.com/"
"http://mypho***ool.t235.com/"
"http://ijj.***5.com/"
"http://209.*6.**.230/. /pr"
"http://noshit.fa***ack.com/"
"http://i**.t35.com/"
