下载者蠕虫变种N
危险等级:★★★★
病毒名称:Worm.Win32.DownLoader.n
截获时间:2007-12-12
入库版本:20.22.22
类型:病毒
感染的操作系统:Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况:
传播级别:高
全球化传播态势:低
清除难度:一般
破坏力:中
清理方法
已安装使用金山毒霸2008下载杀毒软件的用户,无须任何设置,金山毒霸将自动保护您的系统免受该病毒的入侵和破坏.无论您是否已经升级到最新版本,金山毒霸都能够有效清除该病毒.如果您没有将金山毒霸2008下载杀毒软件升级到最新版,金山毒霸2008下载杀毒软件在发现该病毒后将报警提示您“发现未知间谍”,请直接选择删除处理;
破坏手段:关闭杀毒软件,可通过移动存储设备,局域网内进行传播
这是一个蠕虫病毒,其主要作用就是从病毒作者设置的列表中下载病毒,并运行.
该病毒的大部分字符串都经过加密,给静态分析带来一定的困难.
病毒一开始会使用CreateMutex创建一个名为:*&^%@#AS%$#&**(%$#)的互斥量,保证系统中只有一个实例在运行.使用WinExec的SW_HIDE模式运行以下命令:
Net Stop Norton Antivirus Auto Protect Service
Net Stop mcshield
net stop “Security Center
net stop “Windows Firewall/Internet Connection Sharing (ICS)
net stop System Restore Service
使用FindWindow查找以下窗口:
金山网镖
Windows Security Center
NOD32KrnSvcWndClass
Q360SafeMainClass
Symantec AntiVirus 企业版
TfLockDownMain ZoneAlarm
天网防火墙个人版
天网防火墙企业版
瑞星个人防火墙下载版
噬菌体
木马克星
找到以上列表中的任何一个窗口,则向他们使用PostMessage发送WM_QUIT消息,将这些安全软件关闭.
遍历系统进程,查找下列进程:
regedit.exe msconfig.exe taskgmr.exe 360tray.exe 360safe.exe nod32kui.exe RAVMON.EXE WoptiClean.exe EGHOST.EXE Iparmor.exe MAILMON.EXE KAVPFW.EXE RogueCleaner.exe rfwmain.exe.
如果系统存在以上任何一个进程,则会被病毒直接关闭.
如果系统进程中存在AVP.EXE,病毒就会修改系统时间年份为2001年,使AVP失效.
病毒会通过读取注册表,找到瑞星安装路径,确定到下列的位置C:\Program Files\Rising\Rav\Update\Setup.exe并运行,使用FindWindowEx确定到卸载的Button上,并用PostMessage发送BM_CLICK消息,将瑞星卸载.
病毒会将自已复制到C:\Program Files\Common Files\Services\svchost.exe中. 并修改run项,达到自启动的目的.
病毒会在本地磁盘和可移动存储设备上释放autorun.inf和病毒自身,其中autorun.inf的内容为:
[AutoRun]
open=IO.pif
shellexecute=IO.pif
病毒会向局域网内开放共享的机器内写入病毒本身,进行传播.
做为以上准备工作,病毒会从列表中依次下载病毒,并运行.
专杀下载
