病毒标签

　　病毒名称： Net-Worm.Win32.AllocUp.a

　　病毒类型： 网络蠕虫

　　危害等级： 中

　　文件长度： 32,838 字节

　　感染系统： windows 98及以上版本

　　开发工具： Microsoft Visual C++ 6.0

　　加壳类型： yoda's cryptor 1.x / modified 、 UPX

　　病毒描述

　　该病毒属网络蠕虫。病毒利用 Microsoft Security Bulletin MS04-011 漏洞传播。该病毒运行后首先会创价互斥体，防止同一病毒重复运行，而后会复制自身到 %system% 目录下，复制完成后便修改注册表项，创建进程，还会停掉一些安全进程。随机打开 TCP 端口并给远程控制着发送消息等待远程命令。病毒还会下载病毒相关文件。

　　行为分析

　　1 、病毒创建互斥体： " 3773C64C-W951-124E-BFC6-083C2BF4S557 " ，防止病毒重复感染。

　　2 、复制自身到 %windirsystem%msveup.exe 下。

　　3 、修改注册表文件，达到随系统启动的目的：

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

　　键值：字串 ".msfupdate" = "%System%msveup.exe"

　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

　　键值：字串 ".msfupdate" = "%System%msveup.exe"

　　4 、打开随即的地 tcp 端口，并给远程控制着发送消息，等待远程控制着的连接。

　　5 、从以下域名中下载 readme001.txt 文件，这个文件被保存的时候包括了一个 URLs 的列表，蠕虫通过这个地址列表下载并执行附加文件。

　　doalloc.com

　　nevertest.com

　　rpcset.com

　　upalloc.com

　　6 、病毒利用 Microsoft Security Bulletin MS04-011 进行传播。

　　--------------------------------------------------------------------------------

　　清除方案

　　1、使用安天木马防线可彻底清除此病毒（推荐）。

　　2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。