病毒名称(中文):
网络荆棘
病毒别名:
I-Worm.Plexus.b[AVP]/I-Worm.Plexus.d[KV]
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
69632
影响系统:
Win9xWinNT
病毒行为:
这是一个集邮件附件传染、局域网文件共享传染以及利用LSASS和RPCDCOM存在的漏洞传染于一身的蠕虫病毒。它是用Mydoom病毒源代码改写而成,更具迷惑性、破坏性和传染性。它的图标是WINZIP图片,让用户以为是压缩包;运行它之后,首先它会弹出一个标题为“Error”,内容为可能是“CRCchecksumfailed.”、“Couldnotinitializeinstallation.Filesizeexpected=26523,sizereturned=26344.”、“Packmethodnotimplemented”、“Fileiscorrupted.”的对话框,企图迷惑用户是压缩包无法打开,而病毒在后台静静运行。
1.将自己复制到局域网中所有的共享目录里以感染更多的机器。
2.利用LSASS和RPCDCOM存在的漏洞感染更多的机器。
3.它搜集用户的某些文件中的邮件地址,然后将病毒体作为邮件发送出去,邮件的主题是一些很有迷惑性的语句,企图让更多的用户感染该病毒。
4.它通过替换%System32%\drivers\etc\hosts文件来阻止KasperskyAnti-Virus反病毒软件升级。
1.它创建互斥量"expletus"防止自己的多个实例运行。
2.复制和生成文件:
将自己复制为%System32%\upu.exe
生成文件%SystemRoot%\svchost.exe、%System32%\[名字可变].dll、%System32%\[名字可变].exe、%System32%\setpupex.exe、%System32%\tek32.sys、%System32%\tek32.vxd、%System32%\tek32.dat
3.修改注册表:
添加:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"InternetServ"="%SystemRoot%\svchost.exe"
HKEY_CLASSES_ROOT\CLSID\{79FB9088-19CE-715D-D85A-216290C5B738}\InProcServer32"默认"="%System32%\[名字可变].dll"
HKEY_CLASSES_ROOT\CLSID\{79FB9088-19CE-715D-D85A-216290C5B738}\InProcServer32"ThreadingModel"="Apartment"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad"WebEventLogger"="{79FB9088-19CE-715D-D85A-216290C5B738}"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\InternetExplorer\Main"UseFormSuggest"="yes..."
HKEY_CURRENT_USER\SOFTWARE\Microsoft\InternetExplorer\Main"FormSuggestPasswords"="yes..."
HKEY_CURRENT_USER\SOFTWARE\Microsoft\InternetExplorer\Main"FormSuggestPWAsk"="yes..."
4.通过局域网文件共享传播。将自己复制到局域网重的共享资源里面,文件名字可能为下列名字之一:
AVP5.xcrack.exe
hx00def.exe
ICQBomber.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
UnNukeit9xNTICQ04noimageCrk.exe
YahooDBMails.exe
5.通过LSASS和RPCDCOM存在的漏洞传播。关于该漏洞请参考MSSecurityBulletinMS04-011。
6.通过携带附件的电子邮件传播。邮件内容可能为下列内容之一:
邮件标题:RE:order
邮件内容:
Hi.Hereisthearchivewiththoseinformation,youaskedme.
Anddon"tforget,itisstronglyconfidencial!!!Seya,man.P.S.Don"tforgetmyfee;)
附件名字:
SecUNCE.exe
邮件标题:Foryou
邮件内容:
Hi,mydarling:)Lookatmynewscreensaver.Ihopeyouwillenjoy...YourLiza
附件名字:
AtlantI.exe
邮件标题:Hi,Mike
邮件内容:
Myfriendgavemethisaccountgeneratorforhttp://www.pantyola.comIwannashareitwithyou:)Andpleasedonotdistributeit.It"sprivate.
附件名字:
Agen1.03.exe
邮件标题:Goodoffer
邮件内容:
Greets!Iofferyoufullbaseofaccountswithpasswordsofmailserveryahoo.com.Hereisarchivewithsmallpartofit.Youcanseethatallinformationisreal.Ifyouwanttobuyfullbase,pleasereplyme...
附件名字:
demo.exe
邮件标题:RE:
邮件内容:
Hi,Nick.Inthisarchiveyoucanfindallthosethings,youaskedme.Seeyou.Steve
邮件内容:
release.exe
7.修改%System32\drivers\etc\hosts文件以阻止AVP升级,修改后的hosts文件内容为:
127.0.0.1downloads-eu1.kaspersky-labs.com
127.0.0.1downloads2.kaspersky-labs.com
127.0.0.1downloads4.kaspersky-labs.com
127.0.0.1downloads1.kaspersky-labs.com
127.0.0.1downloads-us1.kaspersky-labs.com
8.打开TCP端口1250已经一些随机开放的端口,向外界开放后门。
9.该病毒与天网防火墙共存一段时间后,可能导致系统蓝屏。
10.该病毒下载的文件会释放驱动程序并且加载,隐藏木马进程。