病毒名称:Trojan-Downloader.Win32.Agent.bky(Kaspersky) 病毒别名:Worm.DlOnlineGames.a(瑞星) Win32.MyInfect.af.16384(毒霸) 病毒大小:13,824 字节 13,312 字节 加壳方式: 样本MD5:1d9ad0c63ff4b43c28052db0f0cd23ae e9100ce97a5b4fbd8857b25ffe2d7179 样本SHA1:8da40bc9d27e5d3707b0cc9710b5528c1b8e7404 a0a32e4bea2c3b366c0e0433f17ef9c9f9b41104 发现时间:2007.3 更新时间:2007.3.30 关联病毒: 传播方式:通过恶意网站传播,利用ani漏洞,感染exe可执行文件,修改htm等网页文件,发送邮件
技术分析 ==========
病毒运行后复制自身到系统目录: %System%\sysload3.exe
创建自启动项: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "System Boot Check"="%System%\sysload3.exe"
调用IE进程(iexplore.exe)访问网络下载病毒配置信息,保存为%System%\config.ini,开启记事本(notepad.exe)进程开始感一系列病毒动作。
感染系统分区以外的.EXE文件,感染过程中会产生临时文件%System%\tempIcon.exe和%System%\tempload.exe,%System%\tempIcon.exe是病毒副本+被感染exe文件图标,添加到被感染exe文件前端;被感染exe文件尾部也增加8字节。
修改网页文件, .HTM .HTML .ASP .ASPX .PHP .JSP
在这些文件的代码后添加指向恶意地址的代码:
尝试向A驱动器复制病毒副本: A:\tool.exe A:\autorun.inf
autorun.inf内容:
[autorun] Open=tool.exe Shellexecute=tool.exe Shell\0\command = tool.exe Shell\0= 打开
尝试向QQ信箱发送邮件,QQ号码随机产生,正文里附带含有利用ani漏洞的恶意网页地址。
QUOTE: 发件人:i_love_cq@sohu.com 收件人:[随机数字]@qq.com 主题:你和谁视频的时候被拍下的?给你笑死了! 正文: 看你那小样!我看你是出名了! 你看这个地址!你的脸拍的那么清楚!你变明星了! http://macr.microfsot.com/20070326/134952.htm
修改hosts文件,屏蔽一些域名,其中也包括其它同类病毒的下载域名。
病毒内文字信息:
OK BMW xV4
I will by one BMW this year! xV4
Mutex:MyInfect
清除步骤 ==========
1. 结束notepad.exe进程和iexplore.exe进程
2. 删除病毒自启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "System Boot Check"="%System%\sysload3.exe"
3. 删除文件: %System%\sysload3.exe %System%\config.ini
4. 使用反病毒软件进行全盘扫描,清除被感染的exe和网页文件 |