flyleaf 发表于 2010-5-11 17:29

Worm/Win32.Allaple.e[Net]分析

一、 病毒标签:
病毒名称: Worm/Win32.Allaple.e
病毒类型: 蠕虫
文件 MD5: 3D982AE6B8F05881020920229430BDE1
公开范围: 完全公开
危害等级: 4
文件长度: 78,336 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
二、 病毒描述:
该病毒为蠕虫类病毒,病毒运行后调用API函数设置隐藏内存报错窗口,获取自身模块句柄动态加载“icmp.dll”系统库文件并获取多个API函数,创建互斥体防止病毒多次运行,创建多个线程,获取磁盘驱动器信息,判断磁盘类型是否是3,如果是3则分配一块内存并将磁盘驱动器名保存到分配的buffer中,接着创建一个线程将线程优先级设置为2,然后每隔1秒遍历一次保存在buffer中的磁盘下的所有文件,判断文件的后缀名是否为.htm和.html,找到之后将文件属性设置为存档,比较找到的.htm文件起始代码的第68个字节是否是和指定的代码相同,如果相同则调用,如果不同则说明没有被感染,则会将这68字节数据写入到.htm文件的文件头中,并将病毒自身随机拷贝为病毒名文件到找到的.htm文件的所在目录下,伪装成ActiveX组件,添加注册表病毒CLSID值启动项,该病毒文件利用windows漏洞传播自身,试图连接多个网站,溢出成功之后并试图尝试使用弱口令登陆目标计算机。

三、 行为分析:
本地行为:
1、获取磁盘驱动器信息,判断磁盘类型是否是3,如果是3则分配一块内存将磁盘驱动器名保存到分配的buffer中,接着创建一个线程将线程优先级设置为2,然后每隔1秒遍历一次保存在buffer中的磁盘下的所有文件

2、判断文件的后缀名是否为.htm和.html,找到之后将文件属性设置为存档,比较找到的.htm文件起始代码的68个字节是否是和指定的:
<OBJECT type="application/x-oleobject"CLASSID="CLSID:FF4FA6B7-50A2-92B1-3B11-6E186251D2B8"></OBJECT>
代码相同,如果相同则调用,如果不同则说明没有被感染,则会将68字节数据写入到.htm文件的文件头中,并将病毒自身随机拷贝为病毒名文件到找到的.htm文件的所在目录下,装成ActiveX组件

3添加病毒CLSID注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C94D7379-F270-70B2-1635-CEF70473F7AC}\LocalServer32\@
值: 字符串:
"C:\WINDOWS\pchealth\helpctr\System\Remote Assistance\Interaction\Client\zqwkjbbt.exe"
提示:添加的CLSID和病毒名都是变化的
网络行为:
试图连接以下网站:
www.on****.if.ee
www.**.ee

通过windows漏洞溢出成功之后,则尝试使用以下弱口令登陆目标计算机:
oracle、nopass、nobody、nick、newpass、new、network、monitor、money、manager、mail、login、internet、install、hello、guest、go、X、demo、default、debug、database、crew、computer、coffee、bin、beta、backup、backdoor、anonymous、anon、alpha、adm、access、abc123、system、sys、super、sql、shit、shadow、setup、security、secure、secret、123456789、12345678、1234567、123456、12345、1234、123、12、1、00000000、0000000、000000、00000、0000、000、00、server、asdfgh、root

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
      %Windir%            WINDODWS所在目录
    %DriveLetter%            逻辑驱动器根目录
    %ProgramFiles%         系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%       当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%            系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32   


四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 删除病毒添加的注册表项
查找所有磁盘目录下的.html和.htm文件的目录,找到之后将目录下的病毒文件,按文件名搜索并删除注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID下病毒添加的CLSID值启动项,最后删除所有病毒文件
(2)将所有被感染的.html和.htm文件病毒添加的代码:
<OBJECT type="application/x-oleobject"CLASSID="CLSID:FF4FA6B7-50A2-92B1-3B11-6E186251D2B8"></OBJECT>删除
提示:CLSID值是变化的
页: [1]
查看完整版本: Worm/Win32.Allaple.e[Net]分析