扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
下载者Worm.Win32.Downloader.dq分析
该病毒为下载者。运行以后通过连接网络下载病毒文件并执行。
行为分析:
该病毒运行以后,释放一个BAT文件,命令为:
net stop sharedaccess
以此来关闭防火墙服务。
然后打开conime.exe,将代码注入进conime.exe进程内,连接网络读取http://d2.llsging.com/elf_listo.txt下载并执行病毒。
因为防火墙不允许conime.exe反弹连接网络,所以才使用以上的命令来关闭防火墙。
读取的TXT文件保存在c:\WINDOWS\system32\tutility.txt然后连接TXT内的URL进行下载执行:
内容如下:
20080221 http://15.buyaoni.com/new/1.exe20080221 http://15.buyaoni.com/new/2.exe20080221 http://15.buyaoni.com/new/3.exe20080221 http://60.190.118.203/new/4.exe20080221 http://60.190.118.203/new/5.exe20080221 http://60.190.118.203/new/6.exe20080221 http://67.198.194.26/new/7.exe20080221 http://67.198.194.26/new/8.exe20080221 http://67.198.194.26/new/10.exe20080221 http://67.198.194.26/new/11.exe20080221 http://67.198.192.26/new/14.exe20080221 http://67.198.192.26/new/15.exe20080221 http://60.190.118.31/new/16.exe20080221 http://60.190.118.31/new/17.exe20080221 http://60.190.118.31/new/18.exe20080221 http://71.buyaoni.com/new/19.exe20080221 http://71.buyaoni.com/new/20.exe20080221 http://71.buyaoni.com/new/21.exe20080221 http://71.buyaoni.com/new/24.exe20080221 http://11.buyaoni.com/new/25.exe20080221 http://11.buyaoni.com/new/26.exe20080221 http://11.buyaoni.com/new/27.exe20080221 http://11.buyaoni.com/new/30.exe
大部分病毒已被查杀。
解决办法:
屏蔽域名:
http://d2.llsging.com
开启卡巴斯基进行查杀。
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\ WINDODWS所在目录
%DriveLetter%\ 逻辑驱动器根目录
%ProgramFiles%\ 系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录
濠碘€冲€归悘澶愬箖閵娾晜濮滈悽顖涚摃閹烩晠宕氶崶鈺傜暠闁诡垰鍘栫花锛勬喆椤ゅ弧濡澘妫楅悡娆撳嫉閳ь剟寮0渚€鐛撻柛婵呮缁楀矂骞庨埀顒勫嫉椤栨瑤绻嗛柟顓у灲缁辨繈鏌囬敐鍕杽閻犱降鍨藉Σ鍕嚊閹跺鈧﹦绱旈幋鐐参楅柡鍫灦閸嬫牗绂掔捄铏规闁哄嫷鍨遍崑宥夋儍閸曨剚浠樺ù锝嗗▕閳ь剚鏌ㄧ欢鐐寸▕鐎b晝顏遍柕鍡嫹
京公网安备 11010802021500号