Worm.Win32.Downloader.dq病毒分析
|
|
超级巡警团队监测到Worm.Win32.Downloader.dq在很多公司、网吧及小区的局域网中广泛传播。由于该恶意程序下载的其他程序中包括带有ARP欺骗功能的恶意程序和可以穿透还原卡的“机器狗”变种,使得彻底清除变得相对困难。超级巡警团队提醒广大用户,要及时升级安全软件病毒库,并开启超级巡警的ARP防火墙。 |
|
一、病毒相关分析: |
| |
病毒标签:
病毒名称:Worm.Win32.Downloader.dq
病毒类型:蠕虫
危害级别:3
感染平台:Windows
病毒大小:34,957(字节)
SHA1 :5fe50133df91b1b997f063c52e579e6a44a91289
加壳类型:FSG
开发工具:VC |
|
病毒行为:
1、程序运行后,修改进程conime.exe所使用的内存。将恶意程序注入到该进程。
2、释放文件
%System%\wxptdi.sys
%System%\tmipo.bat
3、当检测到系统中存在AVP.exe时,便修改系统时间,使其失效。
4、连接网络文件
http://www.*****.cn/elf_listo.txt,并通过该文件下载其他文件:
http://www.*****.cn/y1.exe
http://www.*****.cn/y2.exe
http://www.*****.cn/y3.exe
http://www.*****.cn/y4.exe
http://www.*****.cn/y5.exe
http://www.*****.cn/y6.exe
http://www.*****.cn/y7.exe
http://www.*****.cn/y8.exe
http://www.*****.cn/y9.exe
http://www.*****.cn/y13.exe
http://www.*****.cn/y15.exe
http://www.*****.cn/y17.exe
http://www.*****.cn/y18.exe
http://www.*****.cn/y19.exe
http://www.*****.cn/y20.exe
http://www.*****.cn/y21.exe
http://www.*****.cn/y22.exe
并将以上文件改名复制到%ProgramFiles%目录
5、以上文件中不仅包括各种流行游戏的盗号木马,还有带有ARP欺骗功能的恶意程序和现在非常流行的“机器狗”变种。
|
|
二、解决方案 |
推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址: http://www.dswlab.com/d1.html
下载超级巡警之机器狗病毒专杀v1.1,查杀病毒。
下载地址:http://bbs.sucop.com/thread-14724-3-1.html |
三、安全建议 |
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
3、使用超级巡警的补丁检查功能,及时安装系统补丁。
4、禁用或删除不必要的的帐号,对管理员帐号设置一个强壮的密码。
5、禁用不必要的服务。
6、及时更新常用软件,尤其是聊天工具。
7、不要随便打开不明来历的电子邮件,尤其是邮件附件。
8、不要随意下载不安全网站的文件并运行。
9、下载和新拷贝的文件要首先进行查毒。
10、不要轻易打开即时通讯工具中发来的链接或可执行文件。
11、使用移动存储介质进行数据访问时,先对其进行病毒检查,建议使用超级巡警U盘免疫器进行免疫。
|
| |
注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,在WindowsNT/2000/XP/2003/VISTA中该变
量指%Windir%\System32。其它:
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir% WINDODWS系统目录
%ProgramFiles% 应用程序默认安装目录
%AppData% 应用程序数据目录
%CommonProgramFiles% 公用文件目录
%HomePath% 当前活动用户目录
%Temp% =%Tmp% 当前活动用户临时目录
%DriveLetter% 逻辑驱动器分区
%HomeDrive% 当前用户系统所在分区
|
|
Copyright(c) DSW Lab All rights reserved |
|
|