特洛伊病毒Win32.Mitglieder.DU

王朝百科·作者佚名  2010-01-27
窄屏简体版  字體: |||超大  

其它名称:W32/Bagle!ITW#122 (WildList), W32/Bagle-LF (Sophos), W32/Mitglieder.SV (F-Secure), Trojan.Tooso (Symantec), Email-Worm.Win32.Bagle.gi (Kaspersky)

病毒属性:特洛伊木马 危害性:高危害 流行程度:

具体介绍:

病毒特性:

Win32.Mitglieder.DU是一种特洛伊病毒,能够在被感染机器上打开一个后门,并作为一个SOCKS 4/5代理。特洛伊还会定期的连接与感染相关的信息的网站。病毒的主要运行程序大小为48,728字节。

感染方式:

病毒的主体程序运行时,会复制到:

%System%wintems.exe

Mitglieder.DU生成以下注册表,以确保每次系统启动时运行病毒:

HKCUSOFTWAREMicrosoftWindowsCurrentVersionRungerman.exe = "%System%wintems.exe"

注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:WinntSystem32; 95,98 和 ME 的是C:WindowsSystem; XP 的是C:WindowsSystem32。

危害:

SOCKS Proxy

Mitglieder.DU在25552端口打开一个SOCKS 4/5代理。

连接站点

Mitglieder.DU定期链接以下站点,这些站点与被感染机器的信息相关。包括运行后门的端口号和被感染机器的IP地址。

http://avistrade.ru/prog/img/proizvod/

http://mir-vesov.ru/p/lang/CVS/

http://monomah-city.ru/vakans/

http://pvcps.ru/images/

http://roszvetmet.com/images/

http://schiffsparty.de/bilder/uploads/

http://service6.valuehost.ru/images/

http://stroyindustry.ru/service/construction/

http://vladzernoproduct.ru/control/sell/t/

http://www.13tw22rigobert.de/_themes/kopie-von-fantasie-in-blau/

http://www.deadlygames.de/DG/BF/BF-Links/clans/

http://www.emil-zittau.de/karten/

http://www.etype.hostingcity.net/mysql_admin_new/images/

http://www.levada.ru/htmlarea/images/

http://www.mirage.ru/sport/omega/pic/omega/

http://www.ordendeslichts.de/intern/

http://8marta.ru/img/path/

http://asvt.ru/images/

http://calimasurf.com/images/base/orig/

http://celebrationsinspain.com/images/

http://coral-adventures.com/images/

http://dearruthie.com/images/

http://dmax.ru/images/

http://efpa-eg.net/images/

http://ferrumcomp.ru/images/

http://financialbusiness.ca/images/

http://golden-ring.net/images/

http://goodbathscents.com/images/

http://jamminjo.com/images/

http://kmold.biz/images/

http://kokon.com/images/

http://komt.ru/images/

http://magian.ru/images/

http://merkur-akademie.de/images/

http://nakorable.ru/htdocs/img/

http://optimsasia.com/images/

http://raz-naraz.wz.cz/html/fanklub/

http://redshop.ru/images/

http://sdom.ru/images/

http://spbso.ru/images/

http://tarkan.ru/images/

http://transaerotours.ru/img/

http://www.ipromocionales.com/images/

http://www.katjas-reisen.de/blog/images/colors/

http://www.moscowapartments.ru/images/_vti_cnf/

http://www.pechki.ru/images/

http://www.rhone.ch/images/

http://www.zdom.ru/images/

下载文件

特洛伊从以下站点每隔1小时下载一个IP地址列表,保存到%System%an_list.txt。这个文件用来链接后门。

http://avistrade.ru/prog/img/proizvod/

http://mir-vesov.ru/p/lang/CVS/

http://monomah-city.ru/vakans/

http://pvcps.ru/images/

http://service6.valuehost.ru/images/

http://www.13tw22rigobert.de/_themes/kopie-von-fantasie-in-blau/

http://trehrechie.ru/images/

http://turnstylesticketing.com/images/

http://twilightzone.cz/distro/

http://vniipo.ru/images/_notes/

http://voelckergmbh.de/images/

http://vserozetki.ru/images/

http://vtr-spb.ru/fp/mikrobus/gazel/

http://www.belteh.ru/images/ludi/

http://www.bmblawfirm.com/images/

http://www.enertelligence.com/playitsafe/images/

http://www.enkor.ru/images/

http://www.g-antssoft.com/images/icon/jpg/blog/

停止并使服务失效

在WindowsXP 和 2000 上,Mitglieder.DU尝试停止以下服务,并使之失效:

Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) service (the "SharedAccess" service), 和 the Security Center service ("wscsvc" - Windows XP Service Pack 2中引入) 在 Windows XP 系统上。

其他信息

特洛伊生成一个名为 '555' 的互斥体,以确保每次只有一个副本运行。它还会生成以下键值供它自己使用:

HKCUSOFTWAREDateTime4uid = <Unique ID>

HKCUSOFTWAREDateTime4port = <Port Number>

HKCUSOFTWAREDateTime4wdrn = 1/0 - (指出它是一个新的还是一个老的感染。)

清除:

KILL安全胄甲Vet 30.3.3000 版本可检测/清除此病毒。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航