最新MSN蠕虫
人气:
【字体:大 中 小】
发布时间:2005-08-19 22:07:56
最近截获到一MSN蠕虫,我们命名为Worm.MSN.funny.exe,该蠕虫在1010日节点截获数目增多,流行趋势明显。
蠕虫基本特征:
休 闲 居 编 辑
名称:Worm.MSN.funny.exe
原始大小:56,320字节
压缩形式:aspack 2.12
脱壳后为:312,832字节
编写语言:VB
1、蠕虫运行后,会拷贝自身到%windows%下为rundll32.exe,然后运行该拷贝,拷贝自身到%system32%下为explorer.exe,然后运行该拷贝,拷贝自身到%system32%下为IEXPLORE.EXE,然后运行该拷贝,拷贝自身到%system32%下为userinit32.exe,同时释放出bsfirst2.log文件。
系统中运行的进程为:
%病毒文件路径%\funny.exe
c:\windows\system32\explorer.exe
c:\windows\system32\IEXPLORE.EXE
c:\windows\rundll32.exe
后三个进程会互相锁定,发现被中止立刻重启病毒进程,因为跟系统文件重名,使得迷惑性非常强,通常人会结束病毒的funny.exe进程而忽略其他进程。
2、蠕虫会修改%system32%\drivers\etc\hosts文件,将大量知名门户网站和色情网站的地址均指向222.89.98.219这个IP,使得用户在浏览这些网站的时候转而浏览222.89.98.219,222.89.98.219IP是http://www.78p.com/ 所使用的IP,该网站提供上网导航。
被修改的HOST文件中的大量网址:
222.89.98.219 www.wo365.com
222.89.98.219 cmfu.com
222.89.98.219 www.cmfu.com
222.89.98.219 9i0.com
222.89.98.219 www.9flash.com
222.89.98.219 9flash.com
222.89.98.219 www.nowok.net
222.89.98.219 nowok.net
222.89.98.219 wisa.com.cn
222.89.98.219 www.sia.com.cn
222.89.98.219 www.wisa.cn
222.89.98.219 wisa.cn
...
3、目前该网站已经出现被DOS的迹象,访问出现:
Connection to server 222.89.98.219 failed (The server is not responding.)
在当日下午3点改网站还能正常访问, 但在7点左右开始无法访问,病毒传播迅速。
4、修改%system32%\wbem\Logs\wbemprox.log
5、蠕虫体内置一些MSN聊天对白:
一家新开的酒吧,晚上聚聚,这里有介绍%url%,记得给我电话
朋友,多注意休息啊,可以到这里放松放松哦,%url%
我们也来俗一把如何,看MM去,%url%,够味!呵呵!
日本人在南京大屠杀的铁证!坚决抵制日货 %url%
对中国威胁最大的十个国家!列表 %url%
《中国农民调查》页页血泪,惊动中央 转自网易,%url%
6、蠕虫会将自身通过MSN传递给MSN好友用户。
7、采用多种启动方式启动:
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下建立MMSystem,
键值:c:\windows\rund1132.exe "c:\windows\system32\mmsystem.dll"", RunDll32
此键值定时检查是否存在,不存在就建立,会在注册表中建立两次。
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 下,修改原键Userinit,原键值为的键值为c:\windows\system32\userinit.exe修改为c:\windows\system32\userinit32.exe
8、手工清除改病毒办法:
终止如下进程:
%windows%\rundll32.exe
%system32%\IEXPLORE.EXE
%system32%\explorer.exe
%system32%\userinit32.exe
删除病毒生成的bsfirst2.log文件,修复病毒修改的%system32%\drivers\etc\hosts文件和%system32%\wbem\Logs\wbemprox.log,恢复蠕虫修改的注册表对应键。
9、此外蠕虫会查%windows%\iSpeed.exe 是否存在,在蠕虫启动后会循环检查c:\killme.cmd,c:\stop.cmd文件是否存在。估计是蠕虫作者用来本地测试控制的脚本,在蠕虫体内发现类似调试控制脚本,
1.bat:
:START
del
if exist
GOGO START
10、程序其它信息:
作者在程序属性中认定该版本为3.00.0023,产品名称为:bsVirus,通过反编译,得知作者编程新建窗体Caption为Form1 ,显示属性为Visible=False,主窗口名FMain,图标为windows XP中的我的电脑的图标。另外因为程序编写的问题,该程序在一些电脑上运行会弹出报错对话框。
11、关于病毒作者:
病毒修改HOSTS文件把众多网站指向一个导航站点,不排除该站长为宣传网站而编写的蠕虫,也不排除有恶意攻击者采用这类方式对该站达到DOS攻击目的。通过病毒体内置的中文和站点多为中文站,可以证明该作者来自大陆。
目前各反病毒公司尚无法查杀该病毒,估计明天XX又要开始大肆炒作了,赫赫