网管联盟 | 网管论坛 | 网管u家 | 网管博客 | 网管软件 | 网管求职 | 小游戏 | 网管搜索 | 网管原创 | 网管聚合 | 网管读摘 | 网管焦点 | 世界素材 | 会员投稿 | 会员中心 
中国网管联盟
Windows Linux Cisco 网络技术 数据库 黑客攻防 DotNet Java PHP 认证 新闻资讯 服务器 存储资讯 网络设备 网管学堂 技术专题 焦点 网吧频道
 当前位置: > bitsCN.com > 网络攻防 > 病毒资讯 > Email-Worm.Win32.Zhelatin.bb分析  

Email-Worm.Win32.Zhelatin.bb分析

2007-05-19  作者:bitsCN整理  来源:中国网管联盟  点评 投稿 收藏

病毒标签:
 病毒名称: Email-Worm.Win32.Zhelatin.bb
病毒类型: 蠕虫
文件 MD5: 89ABF35C87A2E20E63CA484364E055C8
公开范围: 完全公开
危害等级: 4
文件长度: 9,310 字节
感染系统: Win98 以上系统
开发工具: Microsoft Visual C++ 6.0 - 7.0
加壳类型: 未知壳
命名对照: 驱逐舰 [Trojan.Packed.46]
      AntiVir [TR/Small.DBY.BE]
 
病毒描述:
   该病毒属蠕虫类,病毒运行后衍生大量病毒文件,修改注册表,添加启动项,以达到随机启动的目的,连接网络,下载病毒文件,采用 Ring0 环技术,该病毒会搜索计算机中的 E-mail 地址,自动发送邮件,并在邮件附件中添加病毒为附件。
 
行为分析:
 1 、 病毒运行后衍生大量病毒文件:

    %WINDIR%\pp.exe
    %WINDIR%\via.exe
    %WINDIR%\xpupdate.exe
    %WINDIR%\comdlg64.dll
    %system32%\adirka.dll
    %system32%\adirka.exe
    %system32%\adirss.exe
    %system32%\dd.exe
网管联盟bitsCN@com

    %system32%\dlh9jkd1q1.exe
    %system32%\dlh9jkd1q2.exe
    %system32%\dlh9jkd1q5.exe
    %system32%\dlh9jkd1q6.exe
    %system32%\dlh9jkd1q7.exe
    %system32%\dlh9jkd1q8.exe
    %system32%\drivers\etc\hosts
    %system32%\kernels32.exe
    %system32%\lnwin.exe
    %system32%\ma.exe.exe
    %system32%\max1d641.exe
    %system32%\naduhm.dll
    %system32%\pfxzmtaim.dll
    %system32%\pfxzmtforum.dll
    %system32%\pfxzmtgtal.dll
    %system32%\pfxzmticq.dll
    %system32%\pfxzmtsmt.dll
    %system32%\pfxzmtsmtspm.dll
    %system32%\pfxzmtwbmail.dll
    %system32%\pfxzmtymsg.dll
    %system32%\pkfy.dll
    %system32%\pp.exe.exe
    %system32%\qvx5gamet2.exe
    %system32%\qvxga6met3.exe
    %system32%\qvxga7met4.exe
    %system32%\rsvp32_2.dll

网管网www_bitscn_com


    %system32%\sfxzmtforum.dll
    %system32%\sfxzmtsmt.dll
    %system32%\sfxzmtsmtspm.dll
    %system32%\sfxzmtwbmail.dll
    %system32%\sm.exe
    %system32%\spoolsvv.exe
    %system32%\sporder.dll
    %system32%\vexg4am1et2.exe
    %system32%\vexg6ame4.exe
    %system32%\vexga1me4t1.exe
    %system32%\vexga3me2.exe
    %system32%\vexga4m1et4.exe
    %system32%\vexga4me1.exe
    %system32%\vexga5me3.exe
    %system32%\wincom32.ini
    %system32%\zlbw.dll
    %system32%\zu.exe.exe
    %Documents and Settings%\\commander\Local Settings\Temp\31.tmp
    %Documents and Settings%\\commander\Local Settings\Temp\33.tmp
    %Documents and Settings%\\commander\Local Settings\Temp\tmkeylfa.exe
    %Documents and Settings%\\commander\Local Settings\
    Temporary Internet Files\ Content.IE5\CHUFWD67\ma[1].exe 网管网www.bitscn.com
    %Documents and Settings%\\commander\Local Settings\
    Temporary Internet Files\ Content.IE5\CHUFWD67\sm[1].exe
    %Documents and Settings%\\commander\Local Settings\
    Temporary Internet Files\ Content.IE5\GHAR4PU3\60787[1].exe
    %Documents and Settings%\\commander\Local Settings\
    Temporary Internet Files\ Content.IE5\L2B9958U\dd[1].exe
    %Documents and Settings%\\commander\Local Settings\
    Temporary Internet Files\ Content.IE5\L2B9958U\pp[1].exe
    %Documents and Settings%\\commander\Local Settings\
    Temporary Internet Files\ Content.IE5\L2B9958U\pp[2].exe
    %Documents and Settings%\\commander\Local Settings\
    Temporary Internet Files\ Content.IE5\REFBTNJN\20509[1].exe
    %Documents and Settings%\\commander\Local Settings\
    Temporary Internet Files\ Content.IE5\REFBTNJN\via[1].exe
    %Documents and Settings%\\commander\Local Settings\ 网管bitscn_com
    Temporary Internet Files\ Content.IE5\REFBTNJN\zu[1].exe

2 、连接网络,下载病毒文件并自动运行:

    http://8*.9*.1*8.1*8/20509.exe
    http://8*.9*.1*8.1*8/60787.exe
    http://8*.9*.1*8.1*8/soft/1.exe
    http://2*8.6*.2*.1*0/test1.exe
    http://2*8.6*.2*.1*0/soft/2.exe
    http://8*.9*.1*8.1*8/20509.exe
    http://2*8.6*.2*.1*0/soft/3.exe
    http://www.g*yst*g*y.com/task/taskmgr32.exe

3 、修改注册表:

    修改的注册表键值:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DrWatson\NumberOfCrashes
    新 : DWORD: 2 (0x2)
    旧 : DWORD: 1 (0x1)
    新建的注册表键值:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
    键值 : 字串: "System"="C:\WINDOWS\system32\kernels32.exe"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
    键值 : 字串: "System"="C:\WINDOWS\system32\kernels32.exe"

网管bitscn_com


    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
    键值 : 字串: "Windows update loader"="C:\Windows\xpupdate.exe"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
    Winlogon\Notify\A3dxq\
    键值 : 字串: "DllName"="C:\WINDOWS\system32\a3dxq.dll"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Runtime\
    键值 : 字串: "ImagePath"="\??\C:\WINDOWS\System32\drivers\runtime.sys"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
    CurrentVersion\Winlogon\Notify\A3dxq\
    键值 : 字串: "DllName"="C:\WINDOWS\system32\a3dxq.dll"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
    CurrentVersion\Winlogon\Notify\A3dxq\
    键值 : 字串: "Startup"="Startup"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ 网管论坛bbs_bitsCN_com
    CurrentVersion\Winlogon\Notify\A3dxq\
    键值 : 字串: "Impersonate"=1 (0x1)
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
    键值 : 字串: "RTimestamp"=1791431567 (0x6ac7138f)
    HKEY_CURRENT_USER\
    键值 : 字串: "WindowsSubVersion"=21656171 (0x14a726b)
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Direct3D\
    键值 : 字串: "c"=0 (0)

4 、采用 Ring0 技术,加载内核驱动模块:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Runtime\
    键值 : 字串: "ImagePath"="\??\C:\WINDOWS\System32\drivers\runtime.sys"

5 、该病毒搜索计算机中的 E-mail 地址,自动发送邮件,在邮件附件中包含病毒体。

注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\Winnt\System32 , windows95/98/me 中默认的安装路径是 C:\Windows\System , windowsXP 中默认的安装路径是 C:\Windows\System32 。 网管bitscn_com
 

--------------------------------------------------------------------------------
清除方案:
  1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。

   (1) 使用 安天木马防线 “进程管理”关闭病毒进程
   (2) 删除病毒文件
      %WINDIR%\pp.exe
      %WINDIR%\via.exe
      %WINDIR%\xpupdate.exe
      %WINDIR%\comdlg64.dll
      %system32%\adirka.dll
      %system32%\adirka.exe
      %system32%\adirss.exe
      %system32%\dd.exe
      %system32%\dlh9jkd1q1.exe
      %system32%\dlh9jkd1q2.exe
      %system32%\dlh9jkd1q5.exe
      %system32%\dlh9jkd1q6.exe
      %system32%\dlh9jkd1q7.exe
      %system32%\dlh9jkd1q8.exe
      %system32%\drivers\etc\hosts
      %system32%\kernels32.exe 中国网管联盟bitsCN.com
      %system32%\lnwin.exe
      %system32%\ma.exe.exe
      %system32%\max1d641.exe
      %system32%\naduhm.dll
      %system32%\pfxzmtaim.dll
      %system32%\pfxzmtforum.dll
      %system32%\pfxzmtgtal.dll
      %system32%\pfxzmticq.dll
      %system32%\pfxzmtsmt.dll
      %system32%\pfxzmtsmtspm.dll
      %system32%\pfxzmtwbmail.dll
      %system32%\pfxzmtymsg.dll
      %system32%\pkfy.dll
      %system32%\pp.exe.exe
      %system32%\qvx5gamet2.exe
      %system32%\qvxga6met3.exe
      %system32%\qvxga7met4.exe
      %system32%\rsvp32_2.dll
      %system32%\sfxzmtforum.dll
      %system32%\sfxzmtsmt.dll
      %system32%\sfxzmtsmtspm.dll
      %system32%\sfxzmtwbmail.dll
      %system32%\sm.exe
      %system32%\spoolsvv.exe

网管论坛bbs_bitsCN_com


      %system32%\sporder.dll
      %system32%\vexg4am1et2.exe
      %system32%\vexg6ame4.exe
      %system32%\vexga1me4t1.exe
      %system32%\vexga3me2.exe
      %system32%\vexga4m1et4.exe       
      %system32%\vexga4me1.exe
      %system32%\vexga5me3.exe
      %system32%\wincom32.ini
      %system32%\zlbw.dll
      %system32%\zu.exe.exe
      %Documents and Settings%\\commander\
      Local Settings\Temp\31.tmp
      %Documents and Settings%\\commander\
      Local Settings\Temp\33.tmp
      %Documents and Settings%\\commander\
      Local Settings\Temp\tmkeylfa.exe
      %Documents and Settings%\\commander\Local Settings\
      Temporary Internet Files\ Content.IE5\CHUFWD67\ma[1].exe
      %Documents and Settings%\\commander\Local Settings\
      Temporary Internet Files\ Content.IE5\CHUFWD67\sm[1].exe

网管u家u.bitscn@com


      %Documents and Settings%\\commander\Local Settings\
      Temporary Internet Files\ Content.IE5\GHAR4PU3\60787[1].exe
      %Documents and Settings%\\commander\Local Settings\
      Temporary Internet Files\ Content.IE5\L2B9958U\dd[1].exe
      %Documents and Settings%\\commander\Local Settings\
      Temporary Internet Files\ Content.IE5\L2B9958U\pp[1].exe
      %Documents and Settings%\\commander\Local Settings\
      Temporary Internet Files\ Content.IE5\L2B9958U\pp[2].exe
      %Documents and Settings%\\commander\Local Settings\
      Temporary Internet Files\ Content.IE5\REFBTNJN\20509[1].exe
      %Documents and Settings%\\commander\Local Settings\
      Temporary Internet Files\ Content.IE5\REFBTNJN\via[1].exe
      %Documents and Settings%\\commander\Local Settings\
      Temporary Internet Files\ Content.IE5\REFBTNJN\zu[1].exe 网管联盟bitsCN@com

   (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
       修改的注册表键值:
       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DrWatson\
       NumberOfCrashes
       新 : DWORD: 2 (0x2)
       旧 : DWORD: 1 (0x1)
       新建的注册表键值:
       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
       CurrentVersion\Run\
       键值 : 字串: "System"="C:\WINDOWS\system32\kernels32.exe"
       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
       CurrentVersion\Run\
       键值 : 字串: "System"="C:\WINDOWS\system32\kernels32.exe"
       HKEY_CURRENT_USER\Software\Microsoft\Windows\
       CurrentVersion\Run\
       键值 : 字串: "Windows update loader"=
       "C:\Windows\xpupdate.exe"
       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\ 网管u家u.bitscn@com
       CurrentVersion\Winlogon\Notify\A3dxq\
       键值 : 字串: "DllName"="C:\WINDOWS\system32\a3dxq.dll"
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
       Services\Runtime\
       键值 : 字串: "ImagePath"=
       "\??\C:\WINDOWS\System32\drivers\ runtime.sys"
       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
       CurrentVersion\Winlogon\Notify\A3dxq\
       键值 : 字串: "DllName"="C:\WINDOWS\system32\a3dxq.dll"
       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
       CurrentVersion\Winlogon\Notify\A3dxq\
       键值 : 字串: "Startup"="Startup"
       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
       CurrentVersion\Winlogon\Notify\A3dxq\
       键值 : 字串: "Impersonate"=1 (0x1)
       HKEY_CURRENT_USER\Software\Microsoft\Windows\

网管网www_bitscn_com


       CurrentVersion\Explorer\
       键值 : 字串: "RTimestamp"=1791431567 (0x6ac7138f)
       HKEY_CURRENT_USER\
       键值 : 字串: "WindowsSubVersion"=21656171 (0x14a726b)
       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Direct3D\
       键值 : 字串: "c"=0 (0)
 

TAGs
 上一篇:蠕虫是如何通过Email、漏洞、文件共享、P2P传播?   下一篇:病毒播报:灰鸽子推出2007版
相关文章列表
Email-Worm.Win32.Zhelatin.bb分析 评论:
loading.. 评论加载中…
评论:请自觉遵守互联网相关政策法规,评论不得超过250字。

验证码: 注册用户
本类热门排行:
1.Trojan.PSW.Win32.GamesOnline.pr病毒分
2.黑客侵智电脑系统六百万人资料外泄
3.病毒提醒:近期恶意木马程序猖獗需谨防
4.安全预警 请尽快将Flash Player升级到9.0
5.“灰鸽子”病毒变种不断 中毒电脑成为黑
6.大量汶川地震视频、图片带有木马病毒
7.手工清除删不掉的DLL木马
8.Worm.Win32.KillAV.b病毒分析
9.机器狗、U盘杀手等木马近期大肆传播
10.Worm.Win32.DownLoader.ah病毒分析
最新推荐文章:
1.黑客侵智电脑系统六百万人资料外泄
2.“文件夹邮递员”伪装文件夹 投递含毒邮
3.大量汶川地震视频、图片带有木马病毒
4.安德夫木马下载病毒本周肆虐 窃取网游账
5.黑客借助地震视频传播带毒链接
6.网上频现带毒“地震视频”
7.“磁碟机”病毒仍多 使用U盘要当心
8.计算机病毒“灰鸽子”新变种来袭
9.国家计算机病毒中心:警惕“灰鸽子”新变
10.雅虎与McAfee合作 搜索引擎过滤各类恶意
网管论坛交流:
·不疯魔不成活
·令你大开眼界的真正标准化机房,已整理重
·华为HCSE OSPF路由协议培训教材 V3.0
·为赈灾,女孩舍身拍“裸照”
·Windows Server 2003服务器群集创建和配
·exchange2k3全套官方资料
·双儿一周岁了。。。特殊的礼物来啦。。
·存储备份技术版块守则
·无盘技术交流区守则
·DOS命令基础大全之命令详解<作者吐血