|
病毒标签:
病毒名称: Worm.Win32.Agent.az
病毒类型: 蠕虫类
文件 MD5: 662122C6F05E39AD820F7EA125EF25D9
公开范围: 完全公开
危害等级: 4
文件长度: 加壳后 15,614 字节,脱壳后66,560 字节
感染系统: Win9X以上系统
开发工具: Microsoft Visual C++ 6.0
加壳类型: NsPack变形壳
命名对照: BitDefender [GenPack:Generic.Malware.Bdldg.FAE17B32]
病毒描述:
该病毒运行后,衍生病毒文件到系统目录下。添加注册表随机运行项以随机引导病毒体。
病毒体访问某动态更新的病毒地址页面,从而获得病毒的更新下载地址。下载的病毒体多为
网络游戏盗号程序。
行为分析:
1 、衍生下列副本与文件:
%C:%\autorun.inf
%C:%\rising.exe
%WinDir%\cmdbs.exe
%WinDir%\macfee.exe
%WinDir%\mppds.exe
%WinDir%\msccrt.exe
%WinDir%\testexe.exe
%WinDir%\winform.exe
%System32%\6D52D174.EXE
%System32%\B0B2C20E.DLL
%System32%\B0B2C20E.EXE
%System32%\cmdbs.dll
%System32%\macfee.dll
%System32%\mppds.dll
%System32%\msccrt.dll
%System32%\testdll.dll
%System32%\winform.dll
2 、新建注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cmdbs
Value: String: "%WINDIR%\cmdbs.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\macfee
Value: String: "%WINDIR%\macfee.exe /i"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mppds\
Value: String: "%WINDIR%\mppds.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msccrt
Value: String: "%WINDIR%\msccrt.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\testrun
Value: String: "%WINDIR%\testexe.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\upxdnd
Value: String: "%DOCUME~1%\ 当前用户名 \LOCALS~1\Temp\upxdnd.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winForm
Value: String: "%WINDIR%\winform.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\sgktiq98kfb8xz
上一篇:Trojan-PSW.Win32.OnLineGames.qq分析
下一篇:学习如何辨别Microsoft安全性邮件真假
|
精品推荐