病毒“恶鹰”新变种,这是蠕虫病毒“恶鹰”新变种,病毒采用PeX压缩,使用32位汇编编写。
病毒流程如下:
1..病毒将创建多个互斥量:
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
'D'r'o'p'p'e'd'S'k'y'N'e't'
_-oOaxX- S - k - y - N - e - t -XxKOo-_
[SkyNet.cz]SystemsMutex
AdmSkynetJklS003
____->>>U<<<<--____
_-oO]xX-S-k-y-N-e-t-Xx[Oo-_
这些互斥量是其前一些版本创建的,病毒利用此来禁止其它变种的运行
2.病毒将删除键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
下的如下键值:
9XHtProtect
Antivirus
EasyAV
FirewallSvr
HtProtect
ICQ Net
ICQNet
Jammer2nd
KASPerskyAVEng
MsInfo
My AV
NetDy
Norton Antivirus AV
PandaAVEngine
SkynetsRevenge
Special Firewall Service
SysMonXP
Tiny AV
Zone Labs Client Ex
service
3.病毒释放如下文件:
%SYSDIR%\bawindo.exe. --病毒本身
%SYSDIR%\bawindo.exeopen --病毒尾部附加随机数据
%SYSDIR%\bawindo.exeopenopen--病毒尾部附加随机数据
%SYSDIR%\re_file.exe --病毒本身
4.病毒向注册表添加如下值来自启动:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run
"bawindo"="%SYSDIR%\bawindo.exe"
5.病毒将试图复制到带有字符串:"shar"的目录下<比如:C:\Program Files\Common Files\Microsoft Shared>,文件名可能为:
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack,
working Keygen.exe
Microsoft Office XP working Crack,
Keygen.exe
Porno, sex, oral, anal cool,
awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAMP 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English SuBTitles.exe
ACDSee 9.exe
6.病毒将从如下扩展名的文件中搜索EMAIL地址:
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.PHP
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.XML
病毒将使用自己的 SMTP 引擎来发送EMAIL到上面搜到的EMAIL地址,EMAIL特征如下:
发送邮件地址: <伪地址>
主题: <下列之一>
Re:
Re: Hello
Re: Hi
Re: Thank you!
Re: Thanks :)
正文: :))
附件名<下列之一> :
Price
price
Joke
附件名扩展名<下列之一>:
.exe
.scr
.com
.cpl
7.病毒将不会发送到包含如下字眼的邮件地址:
@avp.
@foo
@hotmail
@iana
@messagelab
@microsoft
@MSN
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
f-secur
feste
free-av
gold-certs@
help@
icrosoft
info@
kasp
Linux
listserv
local
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
WinRAR
WinZip
这个病毒躲避杀毒软件查杀的伎俩
8.病毒将试图从下列站点下载一个叫ws.jpg的文件<该文件可能
包含微软漏洞:MS04-28>:
www.24-7-transportation.com
www.DarrkSydebaby.com
www.FritoPie.NET
www.adhdtests.com
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
