加糖苦咖啡 | daishuo's blog

高波蠕虫变种。和昨日病毒（3月13日）中描述的样本功能几乎完全相同，只是应用了不同的加密压缩壳处理，生成的新变种。

1、mssvcc.exe运行后，将创建下列文件：
%SystemDir%\mssvcc.exe, 83387字节
在注册表中添加下列启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msconfig38" = mssvcc.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"msconfig38" = mssvcc.exe
这样，在Windows启动时，病毒就可以自动执行。
 
2、利用多种系统漏洞进行传播。会扫描局域网内存在漏洞的计算机，发送大量数据包，可以造成局域网拥堵甚至瘫痪。
 
3、连接irc服务器newircd.slateit1703.info:8080，接收黑客命令。
 
4、lup.exe运行后，将创建下列文件：
%SystemDir%\mssecure.exe, 82053字节
在注册表中添加下列启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"secures23" = mssecure.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"secures23" = mssecure.exe
这样，在Windows启动时，病毒就可以自动执行。

和昨日病毒(2005.03.13)中描述的keyboard2.exe功能类似，是个变种。

keyboard3.exe是个木马下载器。
运行后，首先向一个网络asp脚本提交新增感染报告，提交形式如下：
http://www.nonameforthisdomain.com/teller2.asp?rnd=[随机数]
然后获得一个要下载程序的列表：
http://www.nonameforthisdomain.com/data.asp?rnd=[随机数]&antisp=1
当前下载列表的内容如下：
http://content.dollarrevenue.com/keyboard3.exe，就是keyboard3.exe本身
http://content.dollarrevenue.com/mousepad3.exe，一个广告点击程序，可能弹出广告窗口
http://content.dollarrevenue.com/newname3.exe，木马下载器