[转载]Bagle.AT病毒分析
信息来源:xfocus文章作者:Killer
benjurry给我发来一个样本,比较流行,很多厂商还不能杀,并且他说趋势正在分析中,简单看了一下,权当找机会灌水:)
这是一个Bagle的变种,采用了变形的PEX压缩,直接进入进行分析了。
1、拷贝自身到%system%下为wingo.exe 和wingo.exeopen 此文件用来拷贝传播,老版本此文件用来读写修改图标。
2、修改如下注册表键值保证自身启动:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"wingo" = "%SystemDir%\wingo.exe"
3、蠕虫会在2006年4月25日终结自己,删除的很干净
4、会在如下文件中查找EMAIL地址:
.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp
5、邮件标题:
Re:
Re: Hello
Re: Thank you!
Re: Thanks :)
Re: Hi
6、发送邮件的时候会跳过使用如下字符的地址:
@hotmail
@msn
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@
7、将自身携带在附件中,扩展忙可能为:COM、 EXE、 SCR、CPL
文件名前部分为:price Joke 不过我接到一个样本扩展名是.EX$,暂时不知道是否经过人工修改。
8、蠕虫还通过P2P类软件传播,文件名类似如下的列表:
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe
9、终止如下大量安全软件的进程:
mcagent.exe
mcvsshld.exe
mcshield.exe
mcvsescn.exe
mcvsrte.exe
DefWatch.exe
Rtvscan.exe
ccEvtMgr.exe
NISUM.EXE
ccPxySvc.exe
navapsvc.exe
NPROTECT.EXE
nopdb.exe
ccApp.exe
Avsynmgr.exe
VsStat.exe
Vshwin32.exe
alogserv.exe
RuLaunch.exe
Avconsol.exe
PavFires.exe
FIREWALL.EXE
ATUPDATER.EXE
LUALL.EXE
DRWEBUPW.EXE
AUTODOWN.EXE
NUPGRADE.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ESCANH95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
AVWUPD32.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
NUPGRADE.EXE
MCUPDATE.EXE
pavsrv50.exe
AVENGINE.EXE
APVXDWIN.EXE
pavProxy.exe
navapw32.exe
navapsvc.exe
ccProxy.exe
navapsvc.exe
NPROTECT.EXE
SAVScan.exe
SNDSrvc.exe
symlcsvc.exe
LUCOMS~1.EXE
blackd.exe
bawindo.exe
FrameworkService.exe
VsTskMgr.exe
SHSTAT.EXE
UpdaterUI.exe
10、自动清除NetSky 蠕虫体,删除NetSky的注册表项目,还会创建跟NetSky同名的互斥体防止感染NetSky.
11、蠕虫会打开本地81端口供远程用户登录,当然登录端口需要密码。
蠕虫会自动连接几个内置的URL地址,将感染的机子IP报告给蠕虫作者,这个危害比较大。
清除办法:
1、修改机子时间,重启动,蠕虫会自动清除自身。
2、删除注册表项目:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"wingo" = "%SystemDir%\wingo.exe"
删除:system32下的wingo.exe wingo.exeopen
删除字母shared字样目录下的所有EXE、COM、CPL、SCR文件,最常见比如:
C:\Program Files\Common Files\Microsoft Shared\
C:\Program Files\Movie Maker\shared\
页:
[1]