加糖苦咖啡

昨日病毒(2006.03.13)

 

昨日病毒

统计时段 2006-3-13

病毒样本上报数排行   样本文件名 上报次数 sysdat.exe 488 printers.exe 330 interneter.exe 271 mousepad2.exe 191 gimmysmiley2.exe 182 lup.exe 161 keyboard2.exe 138 mssvcc.exe 100

技术分析 sysdat.exe TrojanProxy.Ranky.bw 代理木马，大小175200字节，使用Asprotect加壳。 1、病毒运行后，添加下面注册表启动项： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Anti-Virus Update Scheduler V1.39.12R" = "sysdat.exe" 2、开启代理端口，可以供黑客远程登录，被感染计算机成为“肉鸡”。病毒会向一个php脚本提交被感染计算机的代理端口号，提交形式如下： http://proxify.be/file/enter.php?prot=xxxxx&version=xxxxx   keyboard2.exe TrojanDownloader.Small.biy mousepad2.exe TrojanClicker.Small.ib gimmysmiley2.exe TrojanDownloader.Small.biz keyboard2.exe是个木马下载器。 运行后，首先向一个网络asp脚本提交新增感染报告，提交形式如下： http://www.nonameforthisdomain.com/teller2.asp?rnd=[随机数] 然后获得一个要下载程序的列表： http://www.nonameforthisdomain.com/data.asp?rnd=[随机数]&antisp=1 当前下载列表的内容如下： http://content.dollarrevenue.com/keyboard2.exe，就是keyboard2.exe本身 http://content.dollarrevenue.com/mousepad2.exe，一个广告点击程序，可能弹出广告窗口 http://content.dollarrevenue.com/gimmysmiley2.exe，木马下载器   printers.exe TrojanDownloader.Delf.uu interneter.exe TrojanDropper.Agent.wd printers.exe运行后，下载http://01.1234o.com/p_1.exe (TrojanDropper.Agent.we)。 p_1.exe是一个经过NSPack加壳的CAB自解压程序，内含下列程序： killtask.dll pro1.exe pro2.exe pro3.exe pro4.exe pro5.exe svchost.exe 上述几个程序运行后，会在用户机器上安装： 海啸广告秘书 NewWeb收藏入侵者？（SCIntruder） 傲讯浏览器插件 IEHelper插件（从yiqilai.com上下载广告信息） 鸿联网盟插件 还有一个病毒作者自己写的广告弹出木马。   mssvcc.exe Backdoor/Agobot.cgz lup.exe Backdoor/Agobot.cha 高波蠕虫变种。 1、mssvcc.exe运行后，将创建下列文件： %SystemDir%\mssvcc.exe, 84784字节 在注册表中添加下列启动项： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msconfig38" = mssvcc.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "msconfig38" = mssvcc.exe 这样，在Windows启动时，病毒就可以自动执行。   2、利用多种系统漏洞进行传播。会扫描局域网内存在漏洞的计算机，发送大量数据包，可以造成局域网拥堵甚至瘫痪。   3、连接irc服务器newircd.slateit1703.info:8080，接收黑客命令。当前黑客命令为：利用漏洞传播、下载运行另外一个高波变种lat.exe。   4、lat.exe运行后，将创建下列文件： %SystemDir%\lup.exe, 85923字节 在注册表中添加下列启动项： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "secures23" = lup.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "secures23" = lup.exe 这样，在Windows启动时，病毒就可以自动执行。   5、lat.exe(lup.exe)会连接boughtem.nowslate1703.info:22403接收黑客命令。

【作者: daishuo】【访问统计:】【2006年03月14日 星期二 21:38】【 加入博采】【打印】