史萊姆論壇

史萊姆論壇 (http://forum.slime.com.tw/)
-   多媒體影音轉檔燒錄技術文件 (http://forum.slime.com.tw/f129.html)
-   -   Worm.Viking (http://forum.slime.com.tw/thread176662.html)

psac 2006-06-08 08:12 PM

Worm.Viking
 
Worm.Viking

這幾天一直看到不少求援的帖子,從帖子內容看一直都只認為是個QQ尾巴,通過QQ自動發送如下消息:
看看啊. 我最近的照片~ 才掃瞄到QQ象冊上的 ^_^ !h**p://www.qq.com.search_2.shtml.cgi-client-entry.photo.39pic.com/qq%E5%83%8F%E5%86%8C4/
看LOG時注意到rundl132.exe這個文件,此外,某個殺軟會不斷提示logo_1.exe這個東西。

拿到樣本後才知道不是這麼簡單,各大殺軟都對這個病毒做了應急處理。參考各殺軟廠商的分析結果做如下簡介:
病毒被啟動後,釋放以下文件:
%SystemRoot%\rundl132.exe
%SystemRoot%\logo_1.exe
病毒目錄\vdll.dll

新增以下啟動項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\WINNT\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\WINNT\rundl132.exe"

感染所有分區下大小27KB-10MB的可執行文件(但不感染系統資料夾和programe files資料夾下的文件),並在被感染的資料夾中產生_desktop.ini。資料夾裡如果發現這個東西的話,恭喜恭喜,估計十有八九已遭遇不幸了。感染後,可能會造成某些網友說的「EXE文件圖示變花」。

通過不安全的共享網路傳播,網路可用時,枚舉內網所有共享主機,並嘗試用弱口令連接\\IPC$、\admin$等共享目錄,連接成功後進行網路感染。

結束一些國內的反病毒軟件工作行程,如毒霸,瑞星,木馬客星等。

vdll.dll注入Explorer或者Iexplore工作行程,當外網可用時,下載其他木馬程式(比如那個WINLOGON系列的變態木馬)。

小空在這裡提醒大家,對這個病毒防範勝於查殺。部分殺軟對感染該病毒的EXE文件採取的方法是直接刪除,這可不是件好事。因此,小空建議你,及時升級你的殺軟,並打開實時監控;安裝一款防火牆;關閉不必要的網路共享;通過線上更新等給系統打好修正檔;給管理員帳戶加上足夠強壯的密碼;對於來歷不名的文件不要隨意執行。

昨天把拿到的樣本看了下,抓圖如下:rundl132.exe為病毒文件,thunder是原迅雷的主程式VThunder為感染後文件。winhex打開,抓圖如下,可以看出,頭寄生。offset刪除至00069E6後,VThunder即可還原為thunder了。

http://img163.imageshack.us/img163/8823/wormviking14mu.jpg



http://img163.imageshack.us/img163/38/wormviking21xi.jpg


http://img163.imageshack.us/img163/6549/wormviking35in.jpg


http://img163.imageshack.us/img163/2715/wormviking46av.jpg

一點補充

給圖片加上說明更好。
金山
http://vi.db.kingsoft.com/index.shtm...tion=viewgraph
Symantec
http://www.symantec.com/avcenter/ven....looked.h.html
http://securityresponse.symantec.com....looked.i.html

kyoshih 2006-06-09 08:35 AM

謝謝大大無私的分享!!


所有時間均為台北時間。現在的時間是 12:45 AM

Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2022, Jelsoft Enterprises Ltd.

『服務條款』

* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *


SEO by vBSEO 3.6.1