病毒名称:蠕虫病毒Win32.Bypuss.B
其它名称:W32.SillyFDC (Symantec), W32/SillyFDC-N (Sophos), Worm.Win32.Agent.o (Kaspersky)
病毒属性:蠕虫病毒 危害性:中等危害 流行程度:中
具体介绍:
病毒特性:
Win32/Bypuss.B是一种蠕虫,通过移动存储器传播,尝试发送用户的文档副本到远程服务器。
感染方式:
Win32/Bypuss.B 生成一个DLL 文件到 %Temp%dfssetup.tmp,这是一个隐藏的系统文件,随后调用DLL的一个功能。
这个DLL文件还会复制一个隐藏的系统文件到以下位置:
%System%mfc48.dll
%Windows%javaclassesjava.dll
%System%kernel32.sys
它使用格式为病毒任意生成一个Class ID,这里的每个X代表一个十六进制数字。例如Class ID 可能是 。随后使用Class ID生成以下注册表键值:
HKLMSOFTWAREMicrosoftInternet ExplorerGUID = ""
HKCRCLSID\(Default) = "Java Class"
HKCRCLSID\InprocServer32(Default) = "C:WINDOWSjavaclassesjava.dll"
HKCRCLSID\InprocServer32ThreadingModel = "Apartment"
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorer
Browser Helper Objects\(Default) = ""
为了确保隐藏文件不在Windows资源管理器,它还会修改以下注册表:
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
ShowSuperHidden = 0x0
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorer
AdvancedFolderSuperHiddenCheckedValue = 0x0
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorer
AdvancedFolderSuperHiddenUncheckedValue = 0x0
为了在任一新程序运行时加载蠕虫的DLL文件,病毒修改以下注册表键值:
HKLMSOFTWAREMicrosoftWindows NTCurrentVersion
WindowsAppInit_DLLs = "kernel32.sys"
以上所有文件和注册表键值都会定期的被重复写入。
如果蠕虫在使用移动存储器的autorun时被调用,它就会打开一个“我的电脑”窗口,列出被感染的驱动器根目录下非隐藏属性的内容。
如果以下进程正在运行,蠕虫会将代码注入到其中一个或者更多的进程中:
explorer.exe
winlogon.exe
lsass.exe
svchost.exe
qq.exe
如果以下程序正在运行,蠕虫会运行它的恶意代码:
alg.exe
conime.exe
csrss.exe
explorer.exe
inetinfo.exe
kavstart.exe
msmsgs.exe
qq.exe
smss.exe
svchost.exe
winlogon.exe
wuauclt.exe
注:'%Windows%',%System% 和 %Temp%都是可变的路径。病毒通过查询操作系统来决定这些文件夹的位置。Windows 目录在Windows 2000 and NT默认的系统安装路径是C:Winnt; 95,98 和 ME 的是C:Windows; XP 的是C:Windows。System目录在Windows 2000 and NT默认的系统安装路径是C:WinntSystem32; 95,98 和 ME 的是C:WindowsSystem; XP 的是C:WindowsSystem32。Temp目录一般在以下路径:"C:Documents and Settings\Local SettingsTemp", 或 "C:WINDOWSTEMP"。
传播方式
通过移动存储器传播
Bypuss.B通过复制病毒到移动存储器上进行传播,例如USB存储器。当添加一个移动存储器时,Bypuss.B作为一个隐藏的系统文件复制到/RECYCLER/RECYCLER/autorun.exe。它还会替换以下隐藏的配置文件:
/RECYCLER/RECYCLER/desktop.ini
/autorun.inf
当移动存储器添加到另一个系统时,就会运行"autorun.exe",它会在被感染系统上激活移动存储器的自动运行功能。
危害:
发送文档到远程服务器
Bypuss.B扫描所有的移动驱动器和从C:/ 到Z:/ 所有驱动器上以 .doc 或 .xls 为扩展名文件。如果安装了WinRAR文件,病毒就会利用WinRAR将所有相关的文件压缩到以下位置:
%System%\%MS%HCopy.tmp
%System%\%MS%UCopy.tmp
注:上面的%MS%是文件名的一部分,不表示变量。
但是,由于蠕虫代码中的错误,只有C:/ 驱动器和任一可移动驱动器是完全扫描的。其它的硬盘驱动器和ramdisk,只扫描这些驱动器的根目录。
如果被感染机器上没有WinRAR,蠕虫就会生成另一个副本%System%FileSpy.exe,并使用这个副本生成一个干净的文件%System%
ar.exe。随后,它使用"rar.exe"来压缩文件。
所有的驱动器都被扫描后,蠕虫就会发送加密的副本%MS%HCopy.tmp 和 %MS%UCopy.tmp 到61.128.197.212上的一个服务器。
终止进程
Bypuss.B 尝试终止"iparm.exe" 进程。
其它信息
当Bypuss.B发送文件到服务器的时候,它可能回应一个信号,卸载蠕虫。在某个特定的日期后蠕虫也会卸载自身。另外,蠕虫删除以下文件:
%Windows%javaclassesjava.dll
%System%kernel32.sys
它还删除以下注册表:
HKCRCLSID< ClassID >InprocServer32
HKCRCLSID< ClassID >
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorer
Browser Helper Objects< ClassID >
HKLMSOFTWAREMicrosoftInternet ExplorerGUID
并修改以下注册表键值:
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
ShowSuperHidden = 0x0
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorer
AdvancedFolderSuperHiddenCheckedValue = 0x0
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorer
AdvancedFolderSuperHiddenUncheckedValue = 0x1
HKLMSOFTWAREMicrosoftWindows NTCurrentVersion
WindowsAppInit_DLLs = ""
清除:
KILL安全胄甲Vet 30.7.3579 版本可检测/清除此病毒。
