打印

[原创] Worm.Win32.Viking.ix[卡巴斯基]分析

Greysign

一年级

Rank: 1

帖子: 89
精华: 0
威望: 0 度
金币: 594 枚
性别: 男
最后登录: 2007-11-22

1^# 大中小发表于 2007-3-18 00:00 只看该作者

Worm.Win32.Viking.ix[卡巴斯基]分析

分析
G-AVR[Greysign]
一、病毒标签：
病毒名称： Worm.Win32.Viking.ix[卡巴斯基]
病毒类型：木马
文件 MD5：CE555343E15E208A9DA1CBD8FE79E5FB
公开范围：完全公开
危害等级： 3
文件长度： 72,463 字节
加壳类型： UPX 0.80 - 1.24
命名对照：

AntiVir	Found TR/Crypt.XPACK.Gen
ArcaVir	Found nothing
Avast	Found Win32:Tibs-ADO
AVG Antivirus	Found nothing
BitDefender	Found nothing
ClamAV	Found nothing
Dr.Web	Found nothing
F-Prot Antivirus	Found Possibly a new variant of W32/PWStealer.gen1
F-Secure Anti-Virus	Found nothing
Fortinet	Found nothing
Kaspersky Anti-Virus	Found Worm.Win32.Viking.ix
NOD32	Found Win32/PSW.Lineage.ARA
Norman Virus Control	Found Viking.gen
Pandarus	Found nothing
VirusBuster	Found nothing
VBA32	Found MalwareScope.Worm.Viking.3

二、病毒描述：
感染可执行文件.联网下载木马.

三、行为分析
1,网络活动
219.128.162.1-219.128.162.255
59.34.216.182
2.联网下载和释放
%WINDOWS%SMSS.EXE
%WINDOWS%\RichDll.dll
%WINDOWS%\uninstall\rundl132.exe
%WINDOWS%\SERVICES.EXE
%WINDOWS%\WINLOGON.EXE
%WINDOWS%\RUNDLL32.exe
%WINDOWS%\CSRSS.exe
%WINDOWS%\LSASS.EXE
%WINDOWS%\8Sy.exe
%WINDOWS%\9Sy.exe
%Documents and Settings%\Administrator\Local Settings\Temp\wms0.dll
%Documents and Settings%\Administrator\Local Settings\Temp\jts0.dll
%Documents and Settings%\Administrator\Local Settings\Temp\wos0.dll
%Documents and Settings%\Administrator\Local Settings\Temp\mhs0.dll
%Documents and Settings%\Administrator\Local Settings\Temp\smy0.dll
%Documents and Settings%\Administrator\Local Settings\Temp\zts0.dll
%Documents and Settings%\Administrator\Local Settings\Temp\wls0.dll
%Documents and Settings%\Administrator\Local Settings\Temp\wgs0.dll
3.注册表修改
新建:
注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表值： jts3
   类型: REG_SZ
   值： C:\WINDOWS\jts3.exe
注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表值： wms3
   类型: REG_SZ
   值： C:\WINDOWS\wms3.exe
注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表值： qqs3
   类型: REG_SZ
   值： C:\WINDOWS\qqs3.exe

注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表值： wgs3
   类型: REG_SZ
   值： C:\WINDOWS\wgs3.exe

注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表值： wls3
   类型: REG_SZ
   值： C:\WINDOWS\wls3.exe

注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表值： zts3
   类型: REG_SZ
   值： C:\WINDOWS\zts3.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表值： mys3
   类型: REG_SZ
   值： C:\WINDOWS\mys3.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表值： wos3
   类型: REG_SZ
   值： C:\WINDOWS\wos3.exe

注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表值： mhs3
   类型: REG_SZ
   值： C:\WINDOWS\mhs3.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表值： load
   类型: REG_SZ
   值： C:\WINDOWS\uninstall\rundl132.exe

原文地址:http://hi.baidu.com/greysign/blog/item/4821a3016326ff02728da53f.html

本帖最近评分记录