查看文章 |
艾妮变种 wab32res.exe directdb.exe 解决方案
2007-04-15 13:28
档案编号:CISRT2007049 病毒名称:Trojan-Downloader.Win32.Small.elo(Kaspersky) 病毒别名: 病毒大小:10,240 字节 加壳方式: 样本MD5:5dadd1ba195e17f1074e3f6d71f1016f 样本SHA1:026e3f1c6d6600dfa2a2aa71e9148621a8fbcc84 发现时间:2007.4 更新时间:2007.4.12 关联病毒: 传播方式:通过恶意网站传播,感染exe可执行文件 技术分析 ========== 变种: 【CISRT2007041】利用ani漏洞传播的蠕虫 MyInfect麦英 sysload3.exe 解决方案 【CISRT2007042】利用ani漏洞传播的蠕虫变种 MyInfect麦英 sysload3.exe 解决方案 【CISRT2007043】利用ani漏洞传播的蠕虫变种 MyInfect sysbmw.exe 解决方案 和之前的变种稍有不同,由主程序释放一个子程序,感染文件、下载病毒等行为由释放出的子程序完成。 病毒主程序运行后释放子程序并将其运行: %ProgramFiles%\Common Files\System\directdb.exe 调用IE(iexplore.exe)访问网络下载配置信息,根据下载的配置信息可能还会下载其它病毒、木马或恶意程序,修改hosts文件屏蔽安全站点或其它病毒站点,检查并下载自身更新。 开启记事本进程(notepad.exe)进行感染文件的操作,感染除系统分区外其它分区的exe文件。感染文件的方式和之前变种类似,被感染文件除了前端的病毒体(directdb.exe+被感染文件图标)外,尾部还有8字节信息。 创建主程序副本: %ProgramFiles%\Common Files\System\wab32res.exe 创建启动项:
CODE:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"EXPLORER"="%ProgramFiles%\Common Files\System\wab32res.exe" 尝试向A驱动器复制病毒副本: A:\tool.exe A:\autorun.inf autorun.inf内容:
CODE:
[autorun]
Open=tool.exe Shellexecute=tool.exe Shell\0\command = tool.exe Shell\0= 打开 病毒内文字信息: QUOTE:
Today is a good day!Isn't it? xV4
Mutex:Hello Dolly 清除步骤 ========== 1. 结束notepad.exe进程和iexplore.exe进程 2. 删除病毒启动项:
CODE:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"EXPLORER"="%ProgramFiles%\Common Files\System\wab32res.exe" 3. 删除文件: %ProgramFiles%\Common Files\System\wab32res.exe %ProgramFiles%\Common Files\System\directdb.exe %ProgramFiles%\Common Files\System\temp.ini %ProgramFiles%\Common Files\System\avp.ini %ProgramFiles%\Common Files\System\temp.txt 4. 使用反病毒软件进行全盘扫描,清除被感染的exe |
最近读者: