|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2006-06-08, 08:12 PM | #1 |
榮譽會員
|
軟體 - Worm.Viking
Worm.Viking
這幾天一直看到不少求援的帖子,從帖子內容看一直都只認為是個QQ尾巴,通過QQ自動發送如下消息: 看看啊. 我最近的照片~ 才掃瞄到QQ象冊上的 ^_^ !h**p://www.qq.com.search_2.shtml.cgi-client-entry.photo.39pic.com/qq%E5%83%8F%E5%86%8C4/ 看LOG時注意到rundl132.exe這個文件,此外,某個殺軟會不斷提示logo_1.exe這個東西。 拿到樣本後才知道不是這麼簡單,各大殺軟都對這個病毒做了應急處理。參考各殺軟廠商的分析結果做如下簡介: 病毒被啟動後,釋放以下文件: %SystemRoot%\rundl132.exe %SystemRoot%\logo_1.exe 病毒目錄\vdll.dll 新增以下啟動項: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "load"="C:\WINNT\rundl132.exe" [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load"="C:\WINNT\rundl132.exe" 感染所有分區下大小27KB-10MB的可執行文件(但不感染系統資料夾和programe files資料夾下的文件),並在被感染的資料夾中產生_desktop.ini。資料夾裡如果發現這個東西的話,恭喜恭喜,估計十有八九已遭遇不幸了。感染後,可能會造成某些網友說的「EXE文件圖示變花」。 通過不安全的共享網路傳播,網路可用時,枚舉內網所有共享主機,並嘗試用弱口令連接\\IPC$、\admin$等共享目錄,連接成功後進行網路感染。 結束一些國內的反病毒軟件工作行程,如毒霸,瑞星,木馬客星等。 vdll.dll注入Explorer或者Iexplore工作行程,當外網可用時,下載其他木馬程式(比如那個WINLOGON系列的變態木馬)。 小空在這裡提醒大家,對這個病毒防範勝於查殺。部分殺軟對感染該病毒的EXE文件採取的方法是直接刪除,這可不是件好事。因此,小空建議你,及時升級你的殺軟,並打開實時監控;安裝一款防火牆;關閉不必要的網路共享;通過線上更新等給系統打好修正檔;給管理員帳戶加上足夠強壯的密碼;對於來歷不名的文件不要隨意執行。 昨天把拿到的樣本看了下,抓圖如下:rundl132.exe為病毒文件,thunder是原迅雷的主程式VThunder為感染後文件。winhex打開,抓圖如下,可以看出,頭寄生。offset刪除至00069E6後,VThunder即可還原為thunder了。 一點補充 給圖片加上說明更好。 金山 http://vi.db.kingsoft.com/index.shtm...tion=viewgraph Symantec http://www.symantec.com/avcenter/ven....looked.h.html http://securityresponse.symantec.com....looked.i.html 此帖於 2006-06-08 08:46 PM 被 psac 編輯. |
__________________ |
|
送花文章: 3,
|