一级特黄性生活大片免费观看-一级特黄性色生活片-一级特黄性色生活片一区二区-一级特黄视频-国产最新视频-国产最新精品

   
首 頁(yè)  |  微點(diǎn)新聞  |  業(yè)界動(dòng)態(tài)  |  安全資訊  |  安全快報(bào)  |  產(chǎn)品信息  |  網(wǎng)絡(luò)版首頁(yè)
通行證  |  客服中心  |  微點(diǎn)社區(qū)  |  微點(diǎn)郵局  |  常見問題  |  在線訂購(gòu)  |  各地代理商
 

蠕蟲程序Worm.Win32.AutoRun.jpy
來(lái)源:  2008-12-30 17:13:14



捕獲時(shí)間

2008-12-30

病毒摘要

該樣本是使用“ VC ”編寫的蠕蟲程序,由微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲,采用“NSPack”加殼方式試圖躲避特征碼掃描,加殼后長(zhǎng)度為 “30,897字節(jié)”,圖標(biāo)為“”,使用“exe”擴(kuò)展名,通過“網(wǎng)頁(yè)木馬”、“文件捆綁”、“移動(dòng)存儲(chǔ)介質(zhì)”等途徑植入用戶計(jì)算機(jī),運(yùn)行后下載其他木馬到本地運(yùn)行。

感染對(duì)象

Windows 2000/Windows XP/Windows 2003

傳播途徑

網(wǎng)頁(yè)木馬、文件捆綁、移動(dòng)存儲(chǔ)介質(zhì)

防范措施

已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶,無(wú)須任何設(shè)置,微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無(wú)論您是否已經(jīng)升級(jí)到最新版本,微點(diǎn)主動(dòng)防御都能夠有效清除該病毒。如果您沒有將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版,微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“未知木馬”,請(qǐng)直接選擇刪除處理(如圖1);


       圖1 微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲未知病毒(未升級(jí))



如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版本,微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)"Worm.Win32.AutoRun.jpy”,請(qǐng)直接選擇刪除(如圖2)。


       圖2 微點(diǎn)主動(dòng)防御軟件升級(jí)后截獲已知病毒

對(duì)于未使用微點(diǎn)主動(dòng)防御軟件的用戶,微點(diǎn)反病毒專家建議
1、不要在不明站點(diǎn)下載非官方版本的軟件進(jìn)行安裝,避免病毒通過捆綁的方式進(jìn)入您的系統(tǒng)。
2、建議關(guān)閉U盤自動(dòng)播放,具體操作步驟:開始->運(yùn)行->gpedit.msc->計(jì)算機(jī)配置->管理模板->系統(tǒng)->在右側(cè)找到"關(guān)閉自動(dòng)播放"->雙擊->選擇"已啟用"。
3、盡快將您的殺毒軟件特征庫(kù)升級(jí)到最新版本進(jìn)行查殺,并開啟防火墻攔截網(wǎng)絡(luò)異常訪問,如依然有異常情況請(qǐng)注意及時(shí)與專業(yè)的安全軟件廠商聯(lián)系獲取技術(shù)支持。
4、開啟windows自動(dòng)更新,及時(shí)打好漏洞補(bǔ)丁。

病毒分析

該樣本程序被執(zhí)行后,調(diào)用系統(tǒng)“cacls.exe”命令提升下列目錄權(quán)限,賦予“everyone”用戶完全控制權(quán)限:

 
%SystemRoot%\system32
%Temp%


嘗試使用下列命令關(guān)閉“ESET NOD32 ”與“ScanFrm.exe”進(jìn)程,實(shí)現(xiàn)自身保護(hù):

  
sc config ekrn start= disabled
taskkill /im ekrn.exe /f
taskkill /im ScanFrm.exe /f


利用自身資源創(chuàng)建名為“killkb.dll”的文件到目錄“%SystemRoot%\system32\”下,創(chuàng)建成功后利用系統(tǒng)“rundll32.exe”帶參數(shù)“droqp”進(jìn)行加載,成功加載后,替換目錄“%SystemRoot%\system32\drivers\”下“acpiec.sys”文件,并創(chuàng)建下列“RESSDT”服務(wù):

 
項(xiàng):
HKLM\SYSTEM\CurrentControlSet\Services\RESSDT

鍵值:DisplayName
指向數(shù)據(jù):RESSDT
健值:ImagePath
指向數(shù)據(jù):%SystemRoot%\system32\drivers\acpiec.sys


服務(wù)創(chuàng)建成功后調(diào)用此服務(wù),恢復(fù)系統(tǒng)SSDT表,企圖突破“卡巴”殺軟的主動(dòng)防御,并利用下列命令嘗試關(guān)閉“avp.exe”進(jìn)程:

 
sc config avp start= disabled
taskkill /im avp.exe /f


遍歷查找下列安全進(jìn)程,找到后嘗試關(guān)閉該安全進(jìn)程,實(shí)現(xiàn)自身的保護(hù):

 
360safe.exe
360safebox.exe
360tray.exe
agentsvr.exe
anti-trojan.exe
antiarp.exe
antivir.exe
autodown.exe
avkserv.exe
avp.exe
avpupd.exe
avsched32.exe
avsynmgr.exe
avwin95.exe
ccenter.exe
cfiaudit.exe
cfind.exe
cfinet.exe
cfinet32.exe
drrtp.exe
dv95.exe
dv95_o.exe
dvp95.exe
egui.exe
ekrn.exe
jed.exe
kaccore.exe
kasmain.exe
kav32.exe
kavstart.exe
kissvc.exe
kmailmon.exe
kpfw32.exe
kpfwsvc.exe
kppmain.exe
krf.exe
kvmonxp.exe
kvprescan.exe
kwatch.exe
luall.exe
lucomserver.exe
mcafee.exe
mcnasvc.exe
mcproxy.exe
mcshield.exe
mon.exe
moniker.exe
moolive.exe
mpfsrv.exe
n32acan.exe
navapsvc.exe
navapw32.exe
navlu32.exe
navnt.exe
navrunr.exe
navsched.exe
navw.exe
navw32.exe
navwnt.exe
pccclient.exe
pccguide.exe
pcciomon.exe
pccmain.exe
pccwin98.exe
pcfwallicon.exe
persfw.exe
pop3trap.exe
ppppwallrun.exe
program.exe
prot.exe
pview95.exe
qqdoctor.exe
ras.exe
rav.exe
rav7.exe
rav7win.exe
ravmon.exe
ravmond.exe
ravstub.exe
ravtask.exe
rescue32.exe
rfw.exe
rfwmain.exe
rfwsrv.exe
rsmain.exe
rsnetsvr.exe
rstray.exe
safeboxtray.exe
safeweb.exe
scam32.exe
scan.exe
scan32.exe
scanfrm.exe
scanpm.exe
scon.exe
scrscan.exe
secu.exe
serv95.exe
sirc32.exe
smc.exe
smtpsvc.exe
sphinx.exe
spy.exe
sweep95.exe
tbscan.exe
tca.exe
tds2-98.exe
tds2-nt.exe
tmntsrv.exe
tmoagent.exe
tmproxy.exe
tmupdito.exe
tsc.exe
ulibcfg.exe
vavrunr.exe
vet95.exe
vettray.exe
vir.exe
vpc32.exe
vsecomr.exe
vshwin32.exe
vsscan40
vsstat.exe
webscan.exe
webscanx.exe
webtrap.exe
wfindv32.exe
windows優(yōu)化大師.exe
wink.exe
zonealarm.exe


利用自身資源創(chuàng)建名為“update.dll”的文件到目錄“%SystemRoot%\system32\”下,創(chuàng)建成功后利用系統(tǒng)“rundll32.exe”帶參數(shù)“scan”進(jìn)行加載,成功加載后,訪問下列木馬列表網(wǎng)址,進(jìn)行大量木馬下載并運(yùn)行:

 
http://4****5.cn/1.txt


列表網(wǎng)址內(nèi)容如下:

 
1:http://4****5.cn/5/9.exe
1:http://4****5.cn/5/2.exe
1:http://4****5.cn/5/3.exe
1:http://4****5.cn/5/4.exe
1:http://4****5.cn/5/5.exe
1:http://4****5.cn/5/6.exe
1:http://4****5.cn/5/7.exe
1:http://4****5.cn/5/8.exe
1:http://4****5.cn/5/10.exe
1:http://4****5.cn/5/11.exe
1:http://4****5.cn/5/12.exe
1:http://4****5.cn/5/13.exe
1:http://4****5.cn/5/20.exe
1:http://4****5.cn/5/21.exe
1:http://4****5.cn/5/36.exe
1:http://4****5.cn/5/50.exe
1:http://4****5.cn/5/42.exe
1:http://4****5.cn/5/43.exe
1:http://4****5.cn/5/44.exe
1:http://4****5.cn/5/90.exe
1:http://4****5.cn/5/91.exe
1:http://4****5.cn/5/92.exe
1:http://4****5.cn/5/93.exe
1:http://4****5.cn/5/88.exe


訪問下列網(wǎng)址進(jìn)行刷流量統(tǒng)計(jì):

  
http://4****5.cn/14/1.htm


修改系統(tǒng)“hosts”文件如下,實(shí)現(xiàn)對(duì)指定網(wǎng)址進(jìn)行劫持:

 
127.0.0.1       v.onondown.com.cn
127.0.0.2       ymsdasdw1.cn
127.0.0.3       h96b.info
127.0.0.0       fuck.zttwp.cn
127.0.0.0       www.hackerbf.cn
127.0.0.0       geekbyfeng.cn
127.0.0.0       121.14.101.68
127.0.0.0       ppp.etimes888.com
127.0.0.0       www.bypk.com
127.0.0.0       CSC3-2004-crl.verisign.com
127.0.0.1       va9sdhun23.cn
127.0.0.0       udp.hjob123.com
127.0.0.2       bnasnd83nd.cn
127.0.0.0       www.gamehacker.com.cn
127.0.0.0       gamehacker.com.cn
127.0.0.3       adlaji.cn
127.0.0.1       858656.com
127.1.1.1       bnasnd83nd.cn
127.0.0.1       my123.com
127.0.0.0       user1.12-27.net
127.0.0.1       8749.com
127.0.0.0       fengent.cn
127.0.0.1       4199.com
127.0.0.1       user1.16-22.net
127.0.0.1       7379.com
127.0.0.1       2be37c5f.3f6e2cc5f0b.com
127.0.0.1       7255.com
127.0.0.1       user1.23-12.net
127.0.0.1       3448.com
127.0.0.1       www.guccia.net
127.0.0.1       7939.com
127.0.0.1       a.o1o1o1.nEt
127.0.0.1       8009.com
127.0.0.1       user1.12-73.cn
127.0.0.1       piaoxue.com
127.0.0.1       3n8nlasd.cn
127.0.0.1       kzdh.com
127.0.0.0       www.sony888.cn
127.0.0.1       about.blank.la
127.0.0.0       user1.asp-33.cn
127.0.0.1       6781.com
127.0.0.0       www.netkwek.cn
127.0.0.1       7322.com
127.0.0.0       ymsdkad6.cn
127.0.0.1       localhost
127.0.0.0       www.lkwueir.cn
127.0.0.1       06.jacai.com
127.0.1.1       user1.23-17.net
127.0.0.1       1.jopenkk.com
127.0.0.0       upa.luzhiai.net
127.0.0.1       1.jopenqc.com
127.0.0.0       www.guccia.net
127.0.0.1       1.joppnqq.com
127.0.0.0       4m9mnlmi.cn
127.0.0.1       1.xqhgm.com
127.0.0.0       mm119mkssd.cn
127.0.0.1       100.332233.com
127.0.0.0       61.128.171.115:8080
127.0.0.1       121.11.90.79
127.0.0.0       www.1119111.com
127.0.0.1       121565.net
127.0.0.0       win.nihao69.cn
127.0.0.1       125.90.88.38
127.0.0.1       16888.6to23.com
127.0.0.1       2.joppnqq.com
127.0.0.0       puc.lianxiac.net
127.0.0.1       204.177.92.68
127.0.0.0       pud.lianxiac.net
127.0.0.1       210.74.145.236
127.0.0.0       210.76.0.133
127.0.0.1       219.129.239.220
127.0.0.0       61.166.32.2
127.0.0.1       219.153.40.221
127.0.0.0       218.92.186.27
127.0.0.1       219.153.46.27
127.0.0.0       www.fsfsfag.cn
127.0.0.1       219.153.52.123
127.0.0.0       ovo.ovovov.cn
127.0.0.1       221.195.42.71
127.0.0.0       dw.com.com
127.0.0.1       222.73.218.115
127.0.0.1       203.110.168.233:80
127.0.0.1       3.joppnqq.com
127.0.0.1       203.110.168.221:80
127.0.0.1       363xx.com
127.0.0.1       www1.ip10086.com.cm
127.0.0.1       4199.com
127.0.0.1       blog.ip10086.com.cn
127.0.0.1       43242.com
127.0.0.1       www.ccji68.cn
127.0.0.1       5.xqhgm.com
127.0.0.0       t.myblank.cn
127.0.0.1       520.mm5208.com
127.0.0.0       x.myblank.cn
127.0.0.1       59.34.131.54
127.0.0.1       210.51.45.5
127.0.0.1       59.34.198.228
127.0.0.1       www.ew1q.cn
127.0.0.1       59.34.198.88
127.0.0.1       59.34.198.97
127.0.0.1       60.190.114.101
127.0.0.1       60.190.218.34
127.0.0.0       qq-xing.com.cn
127.0.0.1       60.191.124.252
127.0.0.1       61.145.117.212
127.0.0.1       61.157.109.222
127.0.0.1       75.126.3.216
127.0.0.1       75.126.3.217
127.0.0.1       75.126.3.218
127.0.0.0       59.125.231.177:17777
127.0.0.1       75.126.3.220
127.0.0.1       75.126.3.221
127.0.0.1       75.126.3.222
127.0.0.1       772630.com
127.0.0.1       832823.cn
127.0.0.1       8749.com
127.0.0.1       888.jopenqc.com
127.0.0.1       89382.cn
127.0.0.1       8v8.biz
127.0.0.1       97725.com
127.0.0.1       9gg.biz
127.0.0.1       www.9000music.com
127.0.0.1       test.591jx.com
127.0.0.1       a.topxxxx.cn
127.0.0.1       picon.chinaren.com
127.0.0.1       www.5566.net
127.0.0.1       p.qqkx.com
127.0.0.1       news.netandtv.com
127.0.0.1       z.neter888.cn
127.0.0.1       b.myblank.cn
127.0.0.1       wvw.wokutu.com
127.0.0.1       unionch.qyule.com
127.0.0.1       www.qyule.com
127.0.0.1       it.itjc.cn
127.0.0.1       www.linkwww.com
127.0.0.1       vod.kaicn.com
127.0.0.1       www.tx8688.com
127.0.0.1       b.neter888.cn
127.0.0.1       promote.huanqiu.com
127.0.0.1       www.huanqiu.com
127.0.0.1       www.haokanla.com
127.0.0.1       play.unionsky.cn
127.0.0.1       www.52v.com
127.0.0.1       www.gghka.cn
127.0.0.1       icon.ajiang.net
127.0.0.1       new.ete.cn
127.0.0.1       www.stiae.cn
127.0.0.1       o.neter888.cn
127.0.0.1       comm.jinti.com
127.0.0.1       www.google-analytics.com
127.0.0.1       hz.mmstat.com
127.0.0.1       www.game175.cn
127.0.0.1       x.neter888.cn
127.0.0.1       z.neter888.cn
127.0.0.1       p.etimes888.com
127.0.0.1       hx.etimes888.com
127.0.0.1       abc.qqkx.com
127.0.0.1       dm.popdm.cn
127.0.0.1       www.yl9999.com
127.0.0.1       www.dajiadoushe.cn
127.0.0.1       v.onondown.com.cn
127.0.0.1       www.interoo.net
127.0.0.1       bally1.bally-bally.net
127.0.0.1       www.bao5605509.cn
127.0.0.1       www.rty456.cn
127.0.0.1       www.werqwer.cn
127.0.0.1       1.360-1.cn
127.0.0.1       user1.23-16.net
127.0.0.1       www.guccia.net
127.0.0.1       www.interoo.net
127.0.0.1       upa.netsool.net
127.0.0.1       js.users.51.la
127.0.0.1       vip2.51.la
127.0.0.1       web.51.la
127.0.0.1       qq.gong2008.com
127.0.0.1       2008tl.copyip.com
127.0.0.1       tla.laozihuolaile.cn
127.0.0.1       www.tx6868.cn
127.0.0.1       p001.tiloaiai.com
127.0.0.1       s1.tl8tl.com
127.0.0.1       s1.gong2008.com
127.0.0.1       4b3ce56f9g.3f6e2cc5f0b.com
127.0.0.1       2be37c5f.3f6e2cc5f0b.com


遍歷磁盤,拷貝自身名為“1.exe”到磁盤分區(qū)根目錄,并創(chuàng)建“autorun.inf”文件,均修改屬性為“隱藏”,“autorun.inf”內(nèi)容為:

 
[autorun]
Open=1.exe

 

免費(fèi)體驗(yàn)
下  載
安裝演示

主站蜘蛛池模板: 九九99靖品| 91精品专区| 可以看毛片的网站| 欧美激情伦妇在线观看| 99精品国产综合久久久久| 成人国产片免费| 国产在线精品一区二区中文| 精品一区二区久久| 精品国产96亚洲一区二区三区| 欧美一级做一级爱a做片性| 香蕉久久精品国产| 三a大片| 亚洲精品区在线播放一区二区| 中文偷拍视频在线观看| 伊人蜜桃| 国产看午夜精品理论片| 看亚洲a级一级毛片| 精品国产_亚洲人成在线高清| 欧美中文字幕在线视频| 欧美极品大肚孕妇孕交| 美女被免费网站视频软件| 欧美资源在线观看| 免费看成人| 欧美在线视频一区| 女人叉开腿让男人捅| 美女视频网站色| 国产亚洲精品国产第一| 成人男女网18免费0| 宅女深夜福利视频在线| 亚洲精品久久久久影院| 沈樵在线观看福利| 欧美日韩专区国产精品| 久久怡红院亚欧成人影院| 久久久精品免费热线观看| 免费播放毛片| 久久福利资源站免费观看i| 精品九九在线| 国产精品91在线播放| 久久99精品久久久久久国产越南 | 中文字幕日韩在线| 亚洲免费网址|