病毒标签
病毒名称: Net-Worm.Win32.AllocUp.a
病毒类型: 网络蠕虫
危害等级: 中
文件长度: 32,838 字节
感染系统: windows 98及以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: yoda's cryptor 1.x / modified 、 UPX
病毒描述
该病毒属网络蠕虫。病毒利用 Microsoft Security Bulletin MS04-011 漏洞传播。该病毒运行后首先会创价互斥体,防止同一病毒重复运行,而后会复制自身到 %system% 目录下,复制完成后便修改注册表项,创建进程,还会停掉一些安全进程。随机打开 TCP 端口并给远程控制着发送消息等待远程命令。病毒还会下载病毒相关文件。
行为分析
1 、病毒创建互斥体: " 3773C64C-W951-124E-BFC6-083C2BF4S557 " ,防止病毒重复感染。
2 、复制自身到 %windirsystem%msveup.exe 下。
3 、修改注册表文件,达到随系统启动的目的:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键值:字串 ".msfupdate" = "%System%msveup.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
键值:字串 ".msfupdate" = "%System%msveup.exe"
4 、打开随即的地 tcp 端口,并给远程控制着发送消息,等待远程控制着的连接。
5 、从以下域名中下载 readme001.txt 文件,这个文件被保存的时候包括了一个 URLs 的列表,蠕虫通过这个地址列表下载并执行附加文件。
doalloc.com
nevertest.com
rpcset.com
upalloc.com
6 、病毒利用 Microsoft Security Bulletin MS04-011 进行传播。
--------------------------------------------------------------------------------
清除方案
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明!