蠕虫病毒Win32.WombleFamily

其它名称：Email-Worm.Win32.Womble.a (Kaspersky), W32/Womble.A (F-Secure), WORM_WOMBLE.A (Trend), W32.Womble.A@mm (Symantec), W32/Womble@MM (McAfee), W32/Womble-B (Sophos)

病毒属性：蠕虫病毒 危害性：低危害 流行程度：中

具体介绍：

病毒特征：

Win32/Womble是一族发送大量邮件的蠕虫，可能是一个可运行程序，也可能是一个Windows Media文件，攻击MS06-001漏洞。病毒还可能通过网络共享进行复制，并周期性的下载任意文件，在被感染机器上运行。

感染方式：

Womble可能使用两种形式分布：

作为一个可运行程序，带有.pif 或 .exe 扩展名；

作为一个Windows Media 文件，攻击MS06-001 漏洞。这个漏洞允许攻击者在易受攻击的机器上运行他们选择的代码，一般是Win32/Worfo病毒。这个文件可能带有 .jpg 或 .wmf 扩展名。

请到以下站点下载相关的微软漏洞补丁：

http://www.microsoft.com/china/technet/security/Bulletin/MS06-001.mspx

如果蠕虫作为一个Windows Media文件运行，在使用任意media显示之前攻击代码先运行，并引起浏览器程序损坏或者根本不能启动。攻击代码将蠕虫的可运行程序生成到%System%目录，并随后运行它。可运行程序使用以下任一文件名：

winlogin.exe

netupdate.exe

winupdate.exe

winlog.exe

注：'%System%'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:WinntSystem32； 95，98 和 ME 的是C:WindowsSystem； XP 的是C:WindowsSystem32。

如果不是从%System%目录运行蠕虫的可运行程序，它就会使用现有文件名复制到%System%目录。如果文件名使用.pif扩展名，蠕虫就会使用.exe扩展名替代它。由于代码中的错误，Womble可能不能正确的使用.pif扩展名安装文件。

一些变体使用以下文件名替换%System%目录中的病毒副本，随后运行新的副本：

cftmonw.exe

firefoxw.exe

ieupdate.exe

inet.exe

javawin.exe

lsasswin.exe

mdmw.exe

msoffice.exe

netupdate.exe

netwin.exe

servicesw.exe

spoolsw.exe

svchostwin.exe

winlogin.exe

winlogonw.exe

使用任何一种形式，蠕虫都会生成一个文件夹%AppData%MicrosoftWinTools。

注：'%AppData%'是一个可变的路径。病毒通过查询操作系统来决定当前AppData文件夹的位置。 一般在以下路径C:Documents and Settings\Application Data，在XP系统上是C:Documents and Settings\Local SettingsApplication Data。

Womble会添加很多很多空格和完整的路径名到以下注册表键值：

HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonShell

HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonUserInit

例如：

HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonShell =

"Explorer.exe %System%"

HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonUserInit =

"%System%userinit.exe ,%System%"

为了确保在系统启动时运行蠕虫，它还会生成以下键值：

HKLMSoftwareMicrosoftWindowsCurrentVersionRun = "%System%"

HKCUSoftwareMicrosoftWindowsCurrentVersionRun = "%System%"

可能包含以下内容：

ms_net_update

windows_startup

传播方式：

通过邮件传播

为了配置病毒邮件，Womble查询以下键值获取SMTP服务器和用户帐户等信息：

HKCUSoftwareMicrosoftInternet Account ManagerAccounts

并获取SMTP和用户帐户的详细信息。

邮件地址的获取：

蠕虫从Windows Address Book获取收件人邮件地址。它还会通过扫描所有驱动器和RAM上包含以下扩展名的文件来获取邮件地址：

.adb

.asp

.dbx

.htm

.php

.pl

.sht

.tbb

.txt

蠕虫可能会忽略一些地址，这些地址的用户名包含"support"、"virus"字符串或者域名中包含以下字符串：

avp.

drweb.

mccafee.

microsoft.

msn.

ruslis

sun.com

syma

有一些变体根本不会检查邮件地址。

发件地址：

Womble生成不同的发件地址和回复地址。发件地址使用被感染的用户帐户信息。回复地址的用户名由4到8个任意的小写字母组成，域名从以下列表中选择：

123-email.com

138mail.com

888mail.net

altavista.digital.com

animail.net

asiamail.com

aussiemail.com.au

BuildReferrals.com

canada.com

canoemail.com

coolmail.to

dbzmail.com

dcemail.com

didamail.com

dma.be

doramail.com

ezwebmailer.com

fastemailer.com

fastmail.fm

freemail.com.au

gnu.org

gopile.com

graffiti.net

hotmac.com

hush.com

hushmail.com

inbox.com

inmail.sk

koreanmail.com

letterbox.org

linuxmail.org

macbox.com

mail.atlas.cz

mailasia.com

mail-center.com

mailcity.com

mailmaster.com

mailpanda.com

mauimail.com

moose-mail.com

myfastmail.com

mypad.com

myway.com

netzoola.com

refrewards.com

rocketmail.com

rocketmail.com

snail-mail.net

SoftHome.net

starmail.com

tmicha.net

uk2.net

ureach.com

usa.net

uymail.com

vfemail.net

walla.com

weekonline.com

whale-mail.com

wildmail.com

yahoo.ca

yahoo.com

yyhmail.com

一些变体回复地址的用户名由5个任意的小写字母组成，域名从以下列表中选择：

bbc.com

blueyonder.co.uk

bonbon.net

cashette.com

caths.co.uk

cnn.com

cwazy.co.uk

freeserve.co.uk

freeserve.net

gawab.com

hotmail.com

hotpop.com

lpemail.com

nerdshack.com

orcon.net.nz

phreaker.net

pop3.com

redwhitearmy.com

smtp.com

toughguy.net

ukgateway.net

usa.com

yahoo.com

它还会从以下列表选择描述的名字，但是不显示在邮件中：

ada

adam

alex

barbara

bill

bob

brad

celine

chris

damien

david

don

donald

elizabeth

eva

george

hanz

jack

jerry

john

mariah

mark

marry

matt

mickle

robert

shawn

ted

tom

tommy

william

主题：

主题从以下任意选择：

!!

Action

Beauty

Bush

FIFA

Helo

Hi

important

Incredible!!

info

Kiss

Laura

Laura and John

Lola

Look at this!!!

Miss Khan

Nataly

Ola

Olympus

Paula

pic

pics

private

private pics

Re:

RE:

Re: hi

Re: info

RE: pic

read this

Robert

Sex

附件：

蠕虫使用2种形式（可运行程序或Windows Media文件）中的一种附加到邮件中。随后Womble将文件放到ZIP文件中，还可能加入密码保护。

可运行程序的文件名从以下选择，并带有.pif 或 .exe 扩展名：

antispam

firefox_update

free_anti_spyware

free_antivirus

google_tool

ie_update

inet

java_update

mail_control

ms_office_update

net_update

new_win_patch

remove_spyware

www

yahoo_tool

ZIP文件的文件名也从以上列表中选择，如果有密码保护就带有.pif.psw.zip 扩展名，如果没有密码就带有.pif.zip扩展名。

有的变体使用以下文件名：

GoogleHack

My passwords.doc_

My passwords.txt_

MySexMovie

Seduction secrets.doc_

Seduction secrets.txt_

Windows serial number.doc_

Windows serial number.txt_

例如可能的文件名是"Seduction secrets.txt .pif"。

Windows Media 文件的文件名从以下列表中选择，并带有.jpg 或 .wmf扩展名：

about_windows

congratulations

google_info

mails_list

new_picture

picture

some_info

www

yahoo_info

your_friends

随后蠕虫从上述列表中选择一个文件名作为ZIP文件名。ZIP可能带有.jpg.zip 或 .wmf.zip扩展名。如果使用密码保护，ZIP的扩展名可能是.jpg.passw.zip 或 wmf.passw.zip。Womble留下其它被解压的文件。ZIP的扩展名可能改变，文件名是相同的，ZIP文件可能带有.wmf扩展名（例如"some_info.wmf.zip"），将包含带有.jpg扩展名的文件。

一些变体替换使用以下文件名：

anna

bush

GoogleHack

me

My passwords

MySexPicture

MyWife

OurNewCar

OurNewHouse

Seduction secrets

WallPaper

Windows serial number

这三个附件文件名用在一个完整的邮件中。

邮件内容：

如果附件没有密码，Womble可能使用以下邮件内容：

-------------------------

-------------------------

Attach File...

-------------------------

There is some info in the attached file !!!

-------------------------

Hi !!!

<19 random upper and lower case characters>

<19 random upper and lower case characters >

--

Best Regards

For example, this might appear as:

Hi !!!

VEWhmpveqDbvzbcc

ArfsgehFlTOPiHsVJmr

--

Best Regards

-------------------------

如果附件有密码，显示以下内容：

-------------------------

Arc Attach File Password:

-------------------------

Zip P A S S :

-------------------------

Hi !!!

Zip P A S S :

-------------------------

通过网络共享传播

Womble尝试通过网络共享传播，将病毒复制到网络上的其它系统，并复制到本地的网络共享中。

蠕虫在%AppData%MicrosoftWinTools目录中生成一个子目录，从以下任意选择一个名称：

dvd

dvd_info

free

h_core

l_this

lunch

mp3

my_staff

new_mp3

new_video

photo

sh_docs

take_it

video

xxx

它在这里放两个没有压缩的病毒副本，一个是可运行格式，一个是Windows Media格式。Womble使用上面附件描述中的方法为这些病毒副本生成文件名。随后尝试将新生成的目录用做网络共享。

蠕虫可能重复以上过程。如果选择的目录已经存在，它就会复制一个新文件到这个目录中，每个格式都包含几个副本。

Womble还尝试连接网络中的其它系统。它使用被感染机器IP地址的前3个字节，第四个字节从0到255循环，每个数值都依次尝试一次。如果它能够连接到一个系统，并且有可利用的网络共享，蠕虫就会在这个共享目录中生成一个未压缩的副本――一次使用可运行程序格式，一次使用Windows Media文件格式。

从0到255所有数值都尝试一次后，蠕虫保持IP地址的前3个字节，第4个字节再一次从0到255在循环一次。使用这种方式，网络中的系统可能多次收到蠕虫的两种格式的副本。

危害：

下载并运行任意文件

每隔半小时，Womble连接support.365soft.info服务器下载3个文件的列表。这些text文件包含下载可运行程序的URL和版本号。蠕虫将每个文件都保存到%System%目录，并保留下载文件的名称，并在.exe扩展名之前插入5个任意数字。例如，如果下载的文件是"bot1.exe"，那么蠕虫就会将它保存到%System%ot1.22615.exe，随后运行这个文件。

Womble将下载文件的版本号保存到以下注册表位置：

HKLMSoftwareWinUpload =

例如，"bot1.exe"的4版本就保存为：

HKLMSoftwareWinUploadot1.exe = 4

Womble利用这个键值检查请求的文件是否已经被下载。使用这种方式，它只下载新的文件或已经下载的文件的更新的版本。

Womble可能连接以下服务器来获取下载的文件列表：

http://211.184.55.7

http://anyproxy.net

http://baishui.info

http://email-Support.Seekful.com

http://est.otsos.info

http://gogonic.info

http://jiji.2tw.info

http://mail.96520.org

http://mymail.100hotmail.com

http://mymail.allformail.com

http://mymail.bokee.com

http://mymail.dlxt.net

http://mymail.shadrach.net

http://newstarking.info

http://qwe115.info

http://realnyy-otsos.pp.ru

http://se006.info

http://server1.mymail.ph

http://support.enviroweb.org

http://support.nikontech.com

http://support.software602.com

http://tut.shluxa.info

http://update.co.tv

http://update.ebilion.com

http://update.mediaroz.com

http://update.snowsoft.co.kr

http://update.wwwmail.org

http://webmemory.info

http://www.3btasarim.com

其他信息

Womble尝试从http://www.sun.com/index.html 或http://microsoft.com/index.html下载页面，检查internet连通性。

蠕虫将它的一个版本号保存到：

HKLMSoftwareWinUpdateVersion

它还将很多最近运行时间的信息保存到以下键值：

HKCUSoftwareMicrosoftWindowsCurrentVersionwmf.1.1

HKCUSoftwareMicrosoftWindowsCurrentVersionwmf.1.2

清除：

KILL安全胄甲最新版本可检测/清除此病毒。