病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
151552
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是个将TCP、UDPflood攻击程序与一个广告下载器捆绑在一起的病毒。该病毒会接收木马种植者的命令来攻击指定的IP地址,从而造成被攻击者网络瘫痪,也会造成攻击者所在的局域网网络瘫痪。同时该病毒会疯狂的从网上下载广告软件到用户机器安装,使用户机器运行不稳定甚至蓝屏。
1、释放以下文件:
c:\wc1.exe
c:\wc2.exe
%systemdir%\mssock.dll
%systemdir%\AlxRes061201.exe
%systemdir%\scrsys061201.scr
%systemdir%\winsys32_061201.dll
%systemdir%\scrsys16_061201.scr
%systemdir%\winsys32_061201.dll
%WinDir%\winsys.ini
%systemdir%\wbem\Repository\FS\该目录中所有文件
2、wc2.exe会释放一个名为mssock.dll,该DLL文件有伪装的微软版本信息,正常系统文件名应该为mswsock.dll。
3、wc2.exe会修改注册表项来接管LSP进行启动:
HKLM\System\CurrentControlSet\Services\WinSock2\TCPIP\1001"%SystemRoot%\system32\mswsock.dll"
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001\PackedCatalogItem2553797374656D52...
HKLM\System\CurrentControlSet\Services\WinSock2\TCPIP\1002"%SystemRoot%\system32\mswsock.dll"
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002\PackedCatalogItem2553797374656D52...
HKLM\System\CurrentControlSet\Services\WinSock2\TCPIP\1003"%SystemRoot%\system32\mswsock.dll"
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003\PackedCatalogItem2553797374656D52...
HKLM\System\CurrentControlSet\Services\WinSock2\TCPIP\1004"%SystemRoot%\system32\rsvpsp.dll"
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004\PackedCatalogItem2553797374656D52...
HKLM\System\CurrentControlSet\Services\WinSock2\TCPIP\1005"%SystemRoot%\system32\rsvpsp.dll"
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005\PackedCatalogItem2553797374656D52...
注:2553797374656D52...对应的ASCII码为:%SystemRoot%\system32\mssock.dll
4、mssock.dll是个黑客程序,会连接pqc888.3322.org的8004端口等待接收指令。木马种植者可以命令肉机对指定IP和指定端口进行多线程TCPFoold或UDPFoold攻击,从而使被攻击者网络瘫痪,同时也会造成攻击者所在的局域网网络瘫痪。
5、wc1.exe是个广告下载器,释放除wc2.exe和mssock.dll的其它文件。
6、广告下载器会修改如下注册表项来达到自启动的目的:
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit"C:\WINDOWS\system32\userinit.exe,rundll32.exeC:\WINDOWS\system32\winsys16_061201.dllstart"
7、广告下载器会添加以下注册表项来防止弹出的网页:music.51zc.com和news.51zc.com被百度搜霸、雅虎助手、IE浏览器和Google工具条拦截:
HKCU\Software\Baidu\BaiduBar\WhiteList\*.music.51zc.com;news.51zc.com*
HKCU\Software\Yahoo\Assistant\Assist\adwurl\http://music.51zc.com;news.51zc.com;*0x2
HKCU\Software\Microsoft\InternetExplorer\NewWindows\Allow\music.51zc.com;news.51zc.com;
HKCU\Software\Google\NavClient\1.1\whitelist\allow2"|music.51zc.com;news.51zc.com;|"
8、广告下载器会通过发送窗口消息来躲避雅虎助手的广告拦截。
9、广告下载器会尝试查找并关闭进程:KRegEx.exe、KVXP.kxp。
10、广告下载器会尝试往瑞星、AVP的注册表监控等实时监控窗口发送答应消息并关闭实时监控窗口,从而躲避实时监控。
11、广告下载器会启动IE然后对其进行注入,通过IE从网上下载相当数量的广告到用户机器并安装,从而避免被防火墙拦截。