Win32.Troj.ADDL_Flood.aa.151552

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

木马程序

病毒长度:

151552

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是个将TCP、UDPflood攻击程序与一个广告下载器捆绑在一起的病毒。该病毒会接收木马种植者的命令来攻击指定的IP地址,从而造成被攻击者网络瘫痪,也会造成攻击者所在的局域网网络瘫痪。同时该病毒会疯狂的从网上下载广告软件到用户机器安装,使用户机器运行不稳定甚至蓝屏。

1、释放以下文件:

c:\wc1.exe

c:\wc2.exe

%systemdir%\mssock.dll

%systemdir%\AlxRes061201.exe

%systemdir%\scrsys061201.scr

%systemdir%\winsys32_061201.dll

%systemdir%\scrsys16_061201.scr

%systemdir%\winsys32_061201.dll

%WinDir%\winsys.ini

%systemdir%\wbem\Repository\FS\该目录中所有文件

2、wc2.exe会释放一个名为mssock.dll,该DLL文件有伪装的微软版本信息,正常系统文件名应该为mswsock.dll。

3、wc2.exe会修改注册表项来接管LSP进行启动:

HKLM\System\CurrentControlSet\Services\WinSock2\TCPIP\1001"%SystemRoot%\system32\mswsock.dll"

HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001\PackedCatalogItem2553797374656D52...

HKLM\System\CurrentControlSet\Services\WinSock2\TCPIP\1002"%SystemRoot%\system32\mswsock.dll"

HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002\PackedCatalogItem2553797374656D52...

HKLM\System\CurrentControlSet\Services\WinSock2\TCPIP\1003"%SystemRoot%\system32\mswsock.dll"

HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003\PackedCatalogItem2553797374656D52...

HKLM\System\CurrentControlSet\Services\WinSock2\TCPIP\1004"%SystemRoot%\system32\rsvpsp.dll"

HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004\PackedCatalogItem2553797374656D52...

HKLM\System\CurrentControlSet\Services\WinSock2\TCPIP\1005"%SystemRoot%\system32\rsvpsp.dll"

HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005\PackedCatalogItem2553797374656D52...

注:2553797374656D52...对应的ASCII码为:%SystemRoot%\system32\mssock.dll

4、mssock.dll是个黑客程序,会连接pqc888.3322.org的8004端口等待接收指令。木马种植者可以命令肉机对指定IP和指定端口进行多线程TCPFoold或UDPFoold攻击,从而使被攻击者网络瘫痪,同时也会造成攻击者所在的局域网网络瘫痪。

5、wc1.exe是个广告下载器,释放除wc2.exe和mssock.dll的其它文件。

6、广告下载器会修改如下注册表项来达到自启动的目的:

HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit"C:\WINDOWS\system32\userinit.exe,rundll32.exeC:\WINDOWS\system32\winsys16_061201.dllstart"

7、广告下载器会添加以下注册表项来防止弹出的网页:music.51zc.com和news.51zc.com被百度搜霸、雅虎助手、IE浏览器和Google工具条拦截:

HKCU\Software\Baidu\BaiduBar\WhiteList\*.music.51zc.com;news.51zc.com*

HKCU\Software\Yahoo\Assistant\Assist\adwurl\http://music.51zc.com;news.51zc.com;*0x2

HKCU\Software\Microsoft\InternetExplorer\NewWindows\Allow\music.51zc.com;news.51zc.com;

HKCU\Software\Google\NavClient\1.1\whitelist\allow2"|music.51zc.com;news.51zc.com;|"

8、广告下载器会通过发送窗口消息来躲避雅虎助手的广告拦截。

9、广告下载器会尝试查找并关闭进程:KRegEx.exe、KVXP.kxp。

10、广告下载器会尝试往瑞星、AVP的注册表监控等实时监控窗口发送答应消息并关闭实时监控窗口,从而躲避实时监控。

11、广告下载器会启动IE然后对其进行注入,通过IE从网上下载相当数量的广告到用户机器并安装,从而避免被防火墙拦截。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航