昨日病毒(2006.04.03)

 













昨日病毒









统计时段

2006-4-3































病毒样本上报数排行

 









样本文件名
上报次数









mssave.exe
562










extrmous.exe
528










explore.exe
497










guest.exe
245










phost.exe
218










lup.exe
184










mssvcc.exe
146










newname8.exe
140










mousepad8.exe
113










winsystems.exe
108










keyboard8.exe
71



技术分析
















mssave.exe Backdoor/Agobot.chy



大小99K,经过MEW压缩处理。

 

1、病毒运行后,将自身复制到%SystemDir%文件夹,文件名随机。并在注册表创建启动项,指向病毒程序,如:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Microsoft System Saver”=”flcnfm.exe”

 

2、结束多种安全软件和病毒的进程,通过修改hosts文件,屏蔽多个安全网站

3、尝试连接多个IRC服务器接收黑客命令,这些IRC服务器有:

paper.no-ip.biz
holdon.dyndns.org
casi.blogdns.com
comevisit.mentalstate.info
itsthat.mentalstate.info
whore.3xperienced.info
urknot.3xperienced.info
todayis.w33d420.be
digital.w33d420.be
hittin.w33d420.be
billysmells.micr0s0cks.info
buysome.micr0s0cks.info
yes.micr0s0cks.info
udontknow.makaveli7.be
philosophe.makaveli7.be
amalive.makaveli7.be
tupac.makaveli7.be

 

4、具有反调试功能,可以自动检测SoftICE、VMWare等环境,并向IRC服务器报告,有助于黑客屏蔽IP。

 

5、通过多种漏洞传播。传播过程中发送大量数据包,可造成染毒计算机运行速度下降,局域网拥堵。

 


















extrmous.exe Backdoor/Agobot.chv



1、病毒运行后,将创建下列文件:
%SystemDir%\extrmous.exe, 262656字节


2、在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Mouse Adaptor” = extrmous.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
“Mouse Adaptor” = extrmous.exe
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Mouse Adaptor” = extrmous.exe
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
“Mouse Adaptor” = extrmous.exe
这样,在Windows启动时,病毒就可以自动执行。

 

3、连接IRC服务器n2.exceed-speed.info接收并执行黑客命令。

4、通过多种系统漏洞传播,可造成中毒计算机运行速度下降,局域网拥堵。

 

botnet:

n2.exceed-speed.info:10002

PASS sooperdooper

JOIN #nextone# superbots

 


















explore.exe Backdoor/Agobot.chw



1、病毒运行后,将创建下列文件:
%SystemDir%\explore.exe, 111616字节
2、在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“1337 virus” = explore.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
“1337 virus” = explore.exe
这样,在Windows启动时,病毒就可以自动执行。

3、连接IRC服务器irc.kr3wzb4se.info接收并执行黑客命令。
4、通过多种系统漏洞传播,可造成中毒计算机运行速度下降,局域网拥堵。

 


















guest.exe Trojan/Delf.kp



1、病毒运行后,将创建下列文件:
%SystemDir%\intasks.exe, 25671字节
%SystemDir%\msinetes.inf, 309字节
%SystemDir%\msinetes.pnf, 3304字节
%SystemDir%\svchest.exe, 15872字节
%SystemDir%\winpub.reg, 540字节

2、在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“MSService” = svchest.exe
这样,在Windows启动时,svchest.exe就可以自动执行。

 

3、建立下面服务:

服务名称:Msisvr

服务描述:管理Internet 信息服务管理以及NetBIOS 名称解析的支持。

服务程序:%SystemDir%\INTasks.exe

这样,在Windows启动时,INTasks.exe就可以自动运行。

 

4、svchest.exe运行后,设置IE主页、搜索页地址为http://xp2006.3322.org;自动打开网页http://www.71791.com, http://www.71791.com/news, http://www.71791.com/goodvip, http://www.71791.com/mm;下载并执行http://xingz.3322.org/images/guest.exe

 

5、INTasks.exe运行后,负责恢复1、2、3中的病毒文件、注册表数据和服务信息。

 


















phost.exe TrojanProxy.Ranky.dn



木马代理,大小176K,经Asprotect加壳处理。

1、病毒运行后,在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“syshost.exe” = phost.exe
这样,在Windows启动时,病毒就可以自动执行。
2、开启后门代理端口,可供黑客远程使用,成为黑客进行黑客活动的跳板。





















lup.exe Backdoor.Agobot
mssvcc.exe Backdoor.Agobot



高波病毒的变种,详细分析报告请参考“昨日病毒(2006.03.13)”中关于lup.exe/mssvcc.exe早先变种的报告。

 
























newname8.exe TrojanDownloader.VB.jr
mousepad8.exe TrojanClicker.Small.gdh
keyboard8.exe TrojanDownloader.VB.jq


keyboard8.exe是个木马下载器。
运行后,首先向一个网络asp脚本提交新增感染报告,提交形式如下:
http://www.nonameforthisdomain.com/teller2.asp?rnd=[随机数]
然后获得一个要下载程序的列表:
http://www.nonameforthisdomain.com/data.asp?rnd=[随机数]&antisp=1
当前下载列表的内容如下:
http://content.dollarrevenue.com/keyboard8.exe,就是keyboard2.exe本身
http://content.dollarrevenue.com/mousepad8.exe,一个广告点击程序,可能弹出广告窗口
http://content.dollarrevenue.com/newname8.exe,木马下载器


















winsystems.exe Backdoor/Agobot.chx



1、病毒运行后,将创建下列文件:
%SystemDir%\winsystems.exe, 80842字节
2、在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“winsystems25″ = winsystems.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
“winsystems25″ = winsystems.exe
这样,在Windows启动时,病毒就可以自动执行。
3、连接IRC服务器boughtem.nowslate1703.info,接收并执行黑客命令

4、通过多种系统漏洞传播,传播过程中发送大量数据包,可造成中毒计算机运行速度下降,局域网拥堵。

 

botnet:

boughtem.nowslate1703.info:22430

JOIN ##ploit,##ploit2 he he

 



本篇文章使用aigaogao Blog软件发布, “我的Blog要备份”


归类于: 1.反病毒 — daishuo @ 12:53 pm 评论(3)

3条评论

  1. mssave.exe怎么处理呢?

    arlly —— 2006年04月10日 @7:49 pm

  2. 非常感谢提供信息

    extrmous.exe 这个病毒怎么解决啊`

    给我发邮件好么 谢谢

    ryul_73@hotmail.com

    Ryul —— 2006年04月11日 @8:33 pm

  3. winsystems.exe病毒已被瑞星清除,但还是不能访问局域网.怎么办?

    wimen —— 2006年04月16日 @12:35 pm

发表评论

评论也有版权!

click to change验证码