» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 反病毒 » 小小的一个病毒 利用u盘传播    11   1/2   1   2   >  作者: 标题: 小小的一个病毒 利用u盘传播 青豆 高级用户 超级发动机 积分 523 发帖 489 注册 2006-9-28 来自 汹涌澎湃浮沉混沌湍流 #1  小小的一个病毒 利用u盘传播 Backdoor.Win32.Agent.dfa分析 安天CERT 一、 病毒标签： 病毒名称： Backdoor.Win32.Agent.dfa 病毒类型： 后门 文件 MD5： 74E51BA6ABEC64A48FF45EBEF14C9A45 公开范围： 完全公开 危害等级： 3 文件长度： 45,268 字节 感染系统： windows98以上版本 开发工具： Microsoft Visual Basic 5.0 / 6.0 加壳类型： 无 二、 病毒描述： 该病毒发现于****大学内，利用U盘、MP3等移动设备进行传播。病毒内含QQ65409685、llm is my son等信息，病毒在%system32%下生成fuck you.txt 的文本文档，内容为：Powered by LLM, QQ：65409685。经推断病毒作者并非QQ号为65409658的使用者，而是一种嫁祸行为。病毒运行后每隔60秒会黑屏一秒，黑屏是专门设计的窗体，黑屏时不能进行输入输出的操作等，并且在重启机后也会有黑屏现象。该病毒提升用户Guest权限为管理员级，并设置密码，启动telnet服务，可以远程控制用户计算机，但由于病毒作者设计上的漏洞，如果telnet服务本身被禁止的话是启动不了telnet服务的，并且需要NtLmSsp服务的支持。修改计算机系统名为：QQ65409685。病毒复制自身到多个目录下，在注册表中添加了三处启动项，但由于格式错误，只有run键下的可以随机启动。在windows XP系统下，重新启动后无法使用鼠标双击和右键打开"本地磁盘"。 三、 行为分析： 1、病毒运行后复制自身并衍生病毒文件： 系统根目录下\ llm.exe 系统根目录下\ AutoRun.inf %system32%\advanced.exe %system32%\fuck you.txt %system32%\dllcache\dcache.exe %system32%\Microsoft\蠽.exe 2、修改注册表，添加启动项，以达到随开机启动的目的： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 键值: 字串: "system.exe"="C:\WINDOWS\system32\advanced.exe"         3、由于格式错误，对以下注册表项的修改并未实现作用： 修改的注册表项： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\        Winlogon 新建键值: 字串: "Shell"="Explorer.exe "C:\WINDOWS\system32\dllcache\    dcache.exe"" 原键值: 字串: "Shell"="Explorer.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\        Winlogon\ 新建键值: 字串: "Userinit"="C:\WINDOWS\system32\userinit.exe,microsoft\蠽.exe" 原键值: 字串: "Userinit"="C:\WINDOWS\system32\userinit.exe,"                           4、修改计算机系统名为QQ65409685： HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ComputerName\ 新建键值: 字串: "ComputerName"="QQ65409685" 原键值: 字串: "ComputerName"="(原计算机系统名)" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName\ 新建键值: 字串: "ComputerName"="QQ65409685" 原键值: 字串: "ComputerName"="(原计算机系统名)" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ 新建键值: 字串: "CheckedValue"="0" 原键值: 字串: "CheckedValue"="1" 5、提升用户Guest权限为管理员级，并设置密码，启动telnet服务： net user guest llmismyson net user guest /active:yes net localgroup administrators guest /add net localgroup guests guest /del net start telnet /y 6、利用U盘、MP3等移动设备进行传播： OPEN=llm.exe shell\open=打开(&O) shell\open\Command=llm.exe shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\Command=llm.exe 7、在windows XP系统下、重新启动后无法使用鼠标双击和右键打开"本地磁盘"。 注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。 ※ ※ ※ 本文纯属【青豆】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-12-25 18:59 nasdaq 版主 版主 积分 1140 发帖 1118 注册 2006-4-6 #2   唉，又有孩子不学好，开始编病毒 下一个版本肯定就不会有这么多bug了，但肯定也会更缺德的…… ※ ※ ※ 本文纯属【nasdaq】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-12-26 09:07 青豆 高级用户 超级发动机 积分 523 发帖 489 注册 2006-9-28 来自 汹涌澎湃浮沉混沌湍流 #3   典型的报复行为,哎,这世界都把人折磨成什么样了. ※ ※ ※ 本文纯属【青豆】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-12-26 14:03 案发现场 新手上路 积分 14 发帖 14 注册 2007-1-8 来自 中南海 #4   我晕 病毒啊病毒 无语了 ※ ※ ※ 本文纯属【案发现场】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-1-8 16:06 laidaqun 注册用户 积分 145 发帖 148 注册 2006-9-25 来自 福建龙岩 #5  有技术可以造福人类啊! 有这个技术.造福人类.也一样可以出名啊.用正当手段赚钱.心安理得. ※ ※ ※ 本文纯属【laidaqun】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ [size=7][url=http://bbs.shxz.net][color=red]生活小站论坛欢迎您![/url][/size][/color] 2007-1-8 20:11 kenny.chan 新手上路 积分 1 发帖 1 注册 2007-1-9 #6   我中了这个，格了120G的硬盘！！ ※ ※ ※ 本文纯属【kenny.chan】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-1-9 09:35 青豆 高级用户 超级发动机 积分 523 发帖 489 注册 2006-9-28 来自 汹涌澎湃浮沉混沌湍流 #7   是吗，这个病毒最近在我们学校非常流行和猖狂，如nasdaq所料，病毒出变种了。 到安全模式下也很难删掉。 ※ ※ ※ 本文纯属【青豆】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-1-10 22:18 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #8   青豆 您可以把您的样本发到virus@micropoint.com.cn我们具体测试分析下 ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2007-1-11 09:45 weizg 中级用户 积分 434 发帖 430 注册 2006-11-25 来自 广西南宁 #9   我想试试，看微点能防得了吗 ※ ※ ※ 本文纯属【weizg】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-1-11 19:49 青豆 高级用户 超级发动机 积分 523 发帖 489 注册 2006-9-28 来自 汹涌澎湃浮沉混沌湍流 #10     Quote: Originally posted by Legend at 2007-1-11 09:45: 青豆 您可以把您的样本发到virus@micropoint.com.cn我们具体测试分析下 我会在近期把样本给你们发过去。 这个病毒微点可以杀掉，显示发现后门程序。 我有三位同学的机器都中了这个病毒，我给他们装上微点后，病毒被清除，好像一共弹出了四个提示窗口。 这个病毒留下了一个后遗症，就是双击硬盘打不开，我查看了一下，硬盘下没有可疑的隐藏文件，应该是其它的设置造成的。 ※ ※ ※ 本文纯属【青豆】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-1-17 17:34  11   1/2   1   2   >  论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号