Net-Worm.Win32.Bobic.k病毒分析报告
安天信息技术有限公司病毒分析小组
一、病毒标签:
病毒名称:Net-Worm.Win32.Bobic.k
病毒类型:蠕虫
危害等级:高
文件长度:1146968字节
感染系统:Win9x以上所有版本
开发工具:VC++6.0
加壳类型:未知壳
二、病毒描述:
该蠕虫启动后,首先把到%system%目录下释放出两个文件(文件名随机,一个大小是1146968字节,另外一个大小是143872字节),再到注册表启动项中把自己加入以便随系统启动,另外,该蠕虫为了保证自己随系统启动,它会感染启动项中所有随系统启动的可执行文件(但不会感染系统自带的系统启动文件)。 然后把自己注入到explorer.exe进程中,注入的线程判断当前是否有网络连接,如果当前网络已连接的话,蠕虫就开始常规动作,对外疯狂发包,感染其他有漏洞的机器。并且蠕虫为了实现进程互锁。它会在%temp%目录下先释放出~1.tmp.exe,然后把自己复制到当前目录下重命名成~2.tmp.exe,并删除~1.tmp.exe,接着又重复制~3.tmp.exe,再删除~2.tmp.exe,以此类推。文件名形式是~X.tmp.exe,这里X是以16进制表示。代表文件被创建的次数。这样一方面是为了监督注入explorer.exe线程的存在,另一方面使自己的在进程列表中的进程名不停的变化。防止进程被删除!
三、行为分析:
1、 该病毒将自身复制到%system%下, 文件名随机
2、将自身添加到注册表中保证自己被启动:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名(键名随机)“fot” 键值:“C:\WINDOWS\System32\nhloxepff.exe”(文件名随机)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices
键名(键名随机)“fot” 键值:“C:\WINDOWS\System32\hzvhayiqcwcw.exe”(文件名随机)
3、进行线程注入和蠕虫行为。
4、感染所有在“Run”启动项以及“Runservices”启动项中随系统启动的非系统文件。
5、每重启一次系统,病毒都会把自己在当前用户%temp%目录下从新复制一份,由于每个病毒大小大约为1MB,这就等于用户每重启一次系统盘空间就减少1MB。
四、清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、删除注册表中的启动项中所有键值以及启动项相对应的所有非系统文件,以及当前用户下的%temp%目录下病毒文件,然后重启系统。
木马防线2005+:
木马防线2005+是安天实验室出品的个人信息安全产品,是木马防线2005的全新升级版,具备高效木马查杀、系统安全管理、实时网络防护等功能。
该高效木马查杀
采用高速智能检测引擎(SVE),能够完全查杀国内外流行的6万余种木马、后门、蠕虫、间谍软件、广告软件、黑客工具、色情拨号程序等,尤其对各类未知有害程序具有极高的检出率。
系统安全管理
提供了丰富的安全管理工具,能够修复IE和注册表设置,管理系统中各项任务、进程、服务、共享资源和自启动项,监控网络的连接状态和开启的端口。
实时网络防护
全新的安天盾防火墙功能更加强大,能够实时监控您的系统和网络,随时发现活动的木马等可疑程序,并能查封指定IP地址和端口,有效拦截各类诸如"冲击波""震荡波"的扫描攻击行为。
附:
安天木马防线2005+试用版下载地址:
参考资料:
