病毒標籤:
病毒名稱: Worm.Win32.Downloader.ay
病毒類型: 蠕蟲類
文件 MD5: C39C4F97B2B5D94D5DC19DB0A2BBC982
公開範圍: 完全公開
危害等級: 5
文件長度: 33,200 字節
感染系統: Windows98以上版本
病毒描述:
該病毒屬後門類。病毒運行後衍生病毒文件到%System32%附屬目錄下。修改註冊表,
添加服務、創建服務以到隨機啟動的目的;病毒完全運行後刪除自身。連接網絡下載病
毒文件,並執行,通過下載的病毒文件獲取用戶的敏感信息,該病毒可以通過局域網進
行傳播。
行為分析:
本地行為:
1、文件運行後會釋放以下文件:
%System32%\com\comrepl32.exe 9,216 字節
%System32%\ drivers\pcibus.sys 90,112 字節
2、新增註冊表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\policies\Explorer\Run]
註冊表值: "comrepl32"
類型: REG_SZ
值:"C:\windows\system32\com\comrepl32.exe"
描述:啟動項,使病毒文件在當該系統的所有用戶登陸該系統時,
運行病毒文件。
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Services\PciHardDisk]
註冊表值: "Description"
類型: REG_SZ
值:"PciHardDisk"
描述:服務描述
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Services\PciHardDisk]
註冊表值: "DisplayName"
類型: REG_SZ
值:"PciHardDisk"
描述:服務名稱
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Services\PciHardDisk]
註冊表值: "ImagePath"
類型: REG_SZ
描述:服務映像文件的啟動路徑
值:"C:\WINDOWS\system32\drivers\pcidisk.sys"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Services\PciHardDisk]
註冊表值: "Start"
類型:DWORD
值: "3"
描述:服務的啟動方式,手動
網絡行為:
連接網絡獲取病毒文件的下載列表:
http://dl.w3c****.com/elf_listo.txt
依據下載列表下載病毒文件
hxxp://rising.w3c****.com/1.exe
hxxp://rising.w3c****.com/2.exe
hxxp://rising.w3c****.com/3.exe
hxxp://rising.w3c****.com/4.exe
hxxp://rising.w3c****.com/5.exe
hxxp://rising.w3c****.com/6.exe
hxxp://rising.w3c****.com/7.exe
hxxp://rising.w3c****.com/8.exe
hxxp://rising.w3c****.com/9.exe
hxxp://rising.w3c****.com/10.exe
hxxp://rising.w3c****.com/11.exe
hxxp://rising.w3c****.com/12.exe
hxxp://rising.w3c****.com/13.exe
hxxp://rising.w3c****.com/14.exe
hxxp://rising.w3c****.com/15.exe
hxxp://rising.w3c****.com/16.exe
hxxp://rising.w3c****.com/17.exe
hxxp://rising.w3c****.com/18.exe
hxxp://rising.w3c****.com/19.exe
hxxp://rising.w3c****.com/20.exe
hxxp://rising.w3c****.com/re.exe
註: %System32% 是一個可變路徑。病毒通過查詢操作系統來決定當前 System文件夾的
位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程序默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings
\當前用戶\Local Settings\Temp
%System32% 系統的 System32文件夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是C:\Windows\System32
清除方案:
1 、手工清除請按照行為分析刪除對應文件,恢復相關係統設置:
(1)使用服務管理關閉病毒進程。
(2)刪除病毒文件:
%System32%\com\comrepl32.exe
%System32%\drivers\pcibus.sys
(3)刪除病毒添加的註冊表項:
[HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion
\policies\Explorer\Run]
註冊表值: "comrepl32"
類型: REG_SZ
值:"C:\windows\system32\com\comrepl32.exe"
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\PciHardDisk]
註冊表值: "Description"
類型: REG_SZ
值:"PciHardDisk"
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\PciHardDisk]
註冊表值: "DisplayName"
類型: REG_SZ
值:"PciHardDisk"
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\PciHardDisk]
註冊表值: "ImagePath"
類型: REG_SZ
值:"C:\WINDOWS\system32\drivers\pcidisk.sys"
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\PciHardDisk]
註冊表值: "Start"
類型:DWORD
值: "3"