Worm.Win32.Agent.aj简单分析
病毒名称:Worm.Win32.Agent.aj(Kaspersky)
病毒别名:win32.iuhzu.a(瑞星)
病毒大小:13327 bytes
加壳方式:NSPack, PE_Patch
样本MD5:f6cac56e082ed27d232b87911f6d0442
样本SHA1:5183cf2b9ce262265294b7778e0a2a59cd6ea2b1
编写语言:Microsoft Visual C++ 6.0 字串7
技术分析: 字串4
运行后复制自身到系统目录并运行:
%Systemroot%system32IMEsvchost.exe(创建进程)
同时释放:
%Systemroot%system322.exe
字串8
%Systemroot%system32internt.exe 字串4
%Systemroot%system32progmon.exe 字串1
%Systemroot%Documents and SettingsAdministratorLocal SettingsTemp
s.bat
rs.bat内容:
@echo off
:start
if not exist ""%1"" goto done
del /F ""%1""
del ""%1""
goto start
:done
del /F %t 字串9
创建启动项:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"internt.exe"="%Systemroot%system32internt.exe "
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"Program file"="%Systemroot%system32progmon.exe "
字串5
创建服务:
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAlerter COM+]
字串9
显示名:Alerter COM+
字串9
描述:Alerter COM+ 字串8
可执行文件的路径:%Systemroot%system32IMEsvchost.exe
字串2
字串7
向分区复制副本,并创建autorun.inf,使得病毒可以通过“自动播放”运行:
X:setup.exe
X:autorun.inf 字串7
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shellAutocommand=setup.exe
字串6
修改注册表使“显示所有文件和文件夹”设置失效:
字串3
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
"CheckedValue"=dword:00000000
字串3
尝试关闭相关窗口和相关进程: 字串4
Windows 任务管理器 字串1
兔子 字串4
任务 字串2
优化 字串5
注册表 字串3
Process
字串4
进程
字串4
木马
字串2
天网
字串7
防火墙 字串8
遍历目录,感染除以下目录外所有目录中的EXE文件:
C:dllcache
C:WINDOWS
C:WINNT
C:\drivers
C:Documents and Settings
C:System Volume Information
C:Recycled
C:WINDOWSaddins
C:IME
C:WINDOWSsystem
Program FilesWindows NT
Program FilesWindowsUpdate
Program FilesWindows Media Player
Program FilesOutlook Express
Program FilesInternet Explorer
Program FilesNetMeeting
Program FilesComPlus Applications
Program FilesMessenger
Program FilesCommon FilesMicrosoft Shared
Program FilesMicrosoft Frontpage
Program FilesMovie Maker
Program FilesInternet ExplorerConnection Wizard
但在虚拟机几次都没成功,应该是感染的机制问题。采用捆绑感染。由于测试没成功,就不具体说了。
字串3
病毒还尝试使用以下用户名和密码访问局域网内其它计算机,尝试将自身副本以2.exe的文件名复制过去:
Administrator
Guest
admin
home
NULL
123456
login
love 字串1
连接http://union.itlearner.com/ip/getip.asp以计算IP的方式统计感染人数---小孤语。我去那网站看了一下,同意小孤的说法。 字串7
连接网络,下载病毒文件到本机运行:
IP:210.245.162.13(香港新世界电讯)
下载远程执行工具PsExec,命名为1.exe
%Systemroot%system321.exe
字串9
wgtw[1].exe
释放DLL:
%Systemroot%system32hs3midia.dll
不断写删注册表,进行IP欺骗
注册驱动:
%Systemroot%system32driversws2ifsl.sys
创建服务:
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesws2ifsl] 字串3
显示名:ws2ifsl 字串8
描述:Windows真接字2.0 Non-行服务提供
字串8
可执行文件的路径:%Systemroot%system32driversws2ifsl.sys
最后创建批处理删除自身。
字串6