昨日病毒(2006.03.13) - 加糖苦咖啡 | daishuo’s blog

昨日病毒(2006.03.13)

昨日病毒

统计时段

2006-3-13

病毒样本上报数排行

样本文件名

上报次数

sysdat.exe

488

printers.exe

330

interneter.exe

271

mousepad2.exe

191

gimmysmiley2.exe

182

lup.exe

161

keyboard2.exe

138

mssvcc.exe

100

技术分析

sysdat.exe

TrojanProxy.Ranky.bw

代理木马，大小175200字节，使用Asprotect加壳。

1、病毒运行后，添加下面注册表启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Anti-Virus Update Scheduler V1.39.12R" = "sysdat.exe"

2、开启代理端口，可以供黑客远程登录，被感染计算机成为“肉鸡”。病毒会向一个php脚本提交被感染计算机的代理端口号，提交形式如下：

http://proxify.be/file/enter.php?prot=xxxxx&version=xxxxx

keyboard2.exe	TrojanDownloader.Small.biy
mousepad2.exe	TrojanClicker.Small.ib
gimmysmiley2.exe	TrojanDownloader.Small.biz

keyboard2.exe是个木马下载器。

运行后，首先向一个网络asp脚本提交新增感染报告，提交形式如下：

http://www.nonameforthisdomain.com/teller2.asp?rnd=[随机数]

然后获得一个要下载程序的列表：

http://www.nonameforthisdomain.com/data.asp?rnd=[随机数]&antisp=1

当前下载列表的内容如下：

http://content.dollarrevenue.com/keyboard2.exe，就是keyboard2.exe本身

http://content.dollarrevenue.com/mousepad2.exe，一个广告点击程序，可能弹出广告窗口

http://content.dollarrevenue.com/gimmysmiley2.exe，木马下载器

printers.exe	TrojanDownloader.Delf.uu
interneter.exe	TrojanDropper.Agent.wd

printers.exe运行后，下载http://01.1234o.com/p_1.exe (TrojanDropper.Agent.we)。

p_1.exe是一个经过NSPack加壳的CAB自解压程序，内含下列程序：

killtask.dll

pro1.exe

pro2.exe

pro3.exe

pro4.exe

pro5.exe

svchost.exe

上述几个程序运行后，会在用户机器上安装：

海啸广告秘书

NewWeb收藏入侵者？（SCIntruder）

傲讯浏览器插件

IEHelper插件（从yiqilai.com上下载广告信息）

鸿联网盟插件

还有一个病毒作者自己写的广告弹出木马。

mssvcc.exe	Backdoor/Agobot.cgz
lup.exe	Backdoor/Agobot.cha

高波蠕虫变种。

1、mssvcc.exe运行后，将创建下列文件：
%SystemDir%\mssvcc.exe, 84784字节
在注册表中添加下列启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msconfig38" = mssvcc.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"msconfig38" = mssvcc.exe
这样，在Windows启动时，病毒就可以自动执行。

2、利用多种系统漏洞进行传播。会扫描局域网内存在漏洞的计算机，发送大量数据包，可以造成局域网拥堵甚至瘫痪。

3、连接irc服务器newircd.slateit1703.info:8080，接收黑客命令。当前黑客命令为：利用漏洞传播、下载运行另外一个高波变种lat.exe。

4、lat.exe运行后，将创建下列文件：
%SystemDir%\lup.exe, 85923字节
在注册表中添加下列启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"secures23" = lup.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"secures23" = lup.exe
这样，在Windows启动时，病毒就可以自动执行。

5、lat.exe(lup.exe)会连接boughtem.nowslate1703.info:22403接收黑客命令。

本篇文章使用aigaogao Blog软件发布, “我的Blog要备份”

归类于： 1.反病毒 — daishuo @ 9:52 pm 评论(2)

2条评论

昨天（2006.03.14）收到的病毒样本，总体来说，没有什么新鲜的东东。sys.exe、mssvcc.exe和lup.exe，是3个上报次数超过100的高波变种(Backdoor/Agobot)，技术上和以前的变种没有什么变化，可以参考昨日病毒(2006.03.13) 。

在上报次数排行榜前3位的样本文件分别是：

~DF44.tmp.exe —- 4891SSAddr1.dll —- 697stup.exe

daishuo —— 2006年03月15日 @7:43 pm
4月3日上报次数较多的样本有：

mssave.exe ——– 562;

extrmous.exe ——– 528;

explore.exe ——– 497;

guest.exe ——– 245;

phost.exe ——– 218;

lup.exe ——– 184;

mssvcc.exe ——– 146;

newname8.exe ——– 140;

mousepad8.exe ——–…

daishuo —— 2006年04月04日 @12:53 pm

2条评论

发表评论

news

导航

分类

友情链接

最新日志

存档

最新评论