以下是小编为大家收集的“VB蠕虫变种MQ”病毒技术细节,本文共6篇,希望对大家有所帮助。本文原稿由网友“不追星的狗子”提供。
篇1:“VB蠕虫变种MQ”病毒技术细节
少点炒作,多搞点技术分析,也是广告,但是体现技术,多好
来源:瑞星公司
这是一个Virutal Basic编写的蠕虫病毒,用UPX加壳程序进程保护,
该病毒运行后,首先把自身复制在All User的启动文夹中更名为startup.bat并运行(如:C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动).
接着病毒还会将自身复制到多个系统目录中,路径为%Windir%,子目录名从下列路径名为随机抽取(\\system,\\web,\\fonts,\\temp,\\help)文件名在下列文件名中随机抽取(winlogon.exe,csrss.exe,
taskmgr.exe,lsass.exe,smss.exe,svchost.exe,internat.exe,spoolsv.exe,conime.exe)
病毒会将自身更名为下列三个文件名称regedit.exe,notepad.exe,msconfig.exe,并复制到%SYSTEM32%目录中,替换已经存在的正常文件(regedit.exe,msconfig.exe),并将正常的regedit.exe,msconfig.exe复制到%WinDir%目录中备用,用户在执行这三个程序的同时必定会使病毒也执行起来.
病毒会修改注册表项,达到隐藏文件的目的.
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\
Advanced“HideFileExt” = 0X00000001
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\
Advanced“Hidden” = 0X00000000
病毒会执行下列命令,使中毒计算机完全暴露在网络中,便于病毒作者进行其它的操作.
如:
cmd /c net share C$=c:\\
cmd /c net share D$=d:\\
将计算机的C盘和D盘共享.
cmd /c net user admin /add
添加一个“admin”的用户
cmd /c net localgroup administrators admin /add
将“admin”的用户加入到本地的administrators组中,得到最大的控制权
病毒遍历本地所有存储设备,向可移动存储设备中,写入病毒本身(名字改为“command.com”) 和autorun.inf.其中autorun.inf的内容为:
[autorun]
PEN=Comand.com
Shellexecute=comand.com
Shell\\explorer\\command=comand.com
病毒在遍历本地存储设备的同时,会在本地所有硬盘的根目录中复制一个和目录名相同的病毒文件,迷惑用户.
总结:这个病毒具有较大的破坏性和传播性,其文件图标为Windows系统的文件夹图标,用户非常容易受到迷惑,轻易点击该病毒.该病毒还会将用户常用的一些文件进行替换,使用户在不知不觉中,就可以中招,十分阴险.另外该病毒还可以通过移动设备进行传播.
安全建议:
1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次,
2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。
3 不浏览不良网站,不随意下载安装可疑插件。
4 不接收QQ、MSN、Emial等传来的可疑文件。
5 上网时打开杀毒软件实时监控功能。
6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。
清除办法:
1 . 瑞星杀毒软件清除办法:
安装瑞星杀毒软件,升级到19.19.42版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。
篇2:“VB邮件蠕虫变种CC”病毒技术细节
这是一个VB编写的Worm病毒,采用nspack程序进行保护,病毒文件伪装成Kingsoft AntiVirus软件,试图欺骗用户去点击运行。该病毒是集点击网站,下载病毒,利用邮件和优盘传播为一身多功能病毒。
1.病毒运行后首先会去查找c盘根目录下是否存在KAV32.exe,如果不存在将自身复制到该路径下。
2.病毒遍历本地所有存储设备,向可移动存储设备中,写入病毒本身KAV.exe和autorun.inf.其中autorun.inf的内容为: [AutoRun]open=“KAV32.exe”
3.查找OUTLook邮箱中的好友列表,然后把指定的网址ken23409.3322.org/发送给对方。
4.添加修改以下注册表项:
(1) HKEY_CLASSES_ROOT\\.reg
(默认) = TXTFILE (txtfile为默认的.txt文件打开、编辑方式,修改后将.reg文件当成.txt来处理)。
(2) HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\Currentversion\\policies\\system
“disableregistrytools” = 0X00000001 (禁用注册表编辑器)
(3) HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\Currentversion\\policies\\winoldapp
“disabled” = 0X00000001 (禁止在Windows下使用MS-DOS方式及其它DOS程序)
(4) HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\Currentversion\\Policies\\Explorer
“nosetfolders” = 0X00000001 (从开始菜单隐藏控制面板、打印机/网络连接)
(5) HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\restrictions
“nobrowseroptions” = 0X00000001(禁用IE的“Internet选项”及其对话框中所有属性设置)
(6) HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\control panel
“homepage” = 0X00000001 (修改IE主页属性使按钮失效,用户无法更改“主页”栏)
(7) HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\control panel
“securitytab” = 0X00000001 (禁止使用IE“Internet选项”中的“安全”菜单)
(8) HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\control panel
“resetwebsettings” = 0X00000001 (隐藏网络标识)
(9) HKEY_USERS\\.Default\\Software\\Microsoft\\Internet Explorer\\Main
“start page” = HTTP://KEN23409.3322.ORG (修改IE主页为:HTTP://KEN23409.3322.ORG)
(10) HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run
“Kav32” = C:\\KAV32.EXE (达到开机自启动目的)
5.从ken23409.3322.org:8081/muma.exe网站下载病毒文件到系统文件夹,命名为:i.exe,并运行该病毒,
(由于该网站下载连接已失效无法确认下载的是何种类型的病毒)。
6.查找以下反病毒软件窗口,找到后结束其进程:
(1).江民杀毒软件KV
(2).金山毒霸2007
(3). 瑞星杀毒软件2007
(4).卡巴斯基反病毒软件 6.0
安全建议:
1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次。
2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。
3 不浏览不良网站,不随意下载安装可疑插件。
4 不接收QQ、MSN、Emial等传来的可疑文件。
5 上网时打开杀毒软件实时监控功能。
6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。
清除办法:
瑞星杀毒软件清除办法:(AD开始)
安装瑞星杀毒软件,升级到19.44.32版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。
篇3:“Skype蠕虫”病毒技术细节
来源:瑞星公司
此程序为worm类型程序
1.创建名为syksp2.0.0.4gM-2oo8&-825190的互斥体,防止进程中有多个病毒进程运行,
2.修改用户hosts文件,把以下网址重定位。
89.72.142.99 symantec.comsecurityresponse.symantec.com
168.226.208.159 www.symantec.comsecurityresponse.symantec.com
116.249.149.146 pandasoftware.com
201.163.176.59 www.pandasoftware.com
201.68.47.134 sophos.com
78.3.225.30 www.sophos.com
209.127.21.131 mcafee.com
139.189.165.92 www.mcafee.com
217.102.51.14 downloads-us1.kaspersky-labs.com
229.47.179.141 www.downloads-us1.kaspersky-labs.com
131.152.41.115 updates1.kaspersky-labs.com
…
3.在system32文件夹下释放wndrivsd32.exe、winlgcverx.exe、sdrivec32.exe、mshtmlsh32.exe 文件,并添加注册表自启动项HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\
Currentversion\\RunOnce “Service Start2” = mshtmlsh32.exe、HKEY_LOCAL_MACHINE\\
Software\\Microsoft\\Windows NT\\Currentversion\\Winlogon “Windows Sysdat” = explorer.exe mshtmlsh32.exe,
4.在explorer.exe中创建远程线程,每隔6秒查找进程中是否存在病毒进程,如果没有则运行病毒程序,实现进程保护。
5.病毒会将生成的dsc027.scr通过skype模拟键盘和鼠标操作发送给其他联系人,发送消息如下:
your photos looks realy nice
where I put ur photo :D
I used photoshop and edited it
look what crazy photo Tiffany sent to me,looks cool
haha lol
now u populr
really funny
…
6.遍历磁盘,把自己命名为game.exe和zjbs.exe拷备到可移动的磁盘中,添加autorun.inf得用户双击打开磁盘时同时运行病毒。
7.查找并结束以下进程:ACKWIN32、ADAWARE、ADVXDWIN、AGENTSVR.、AGENTW、ALERTSVC、ALEVIR ALOGSERV、AMON9X、AMON、ANTI-TROJAN、ANTIVIRUS、ANTS、APIMONITOR、APLICA32…
安全建议:
1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次。
2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。
3 不浏览不良网站,不随意下载安装可疑插件。
4 不接收QQ、MSN、Emial等传来的可疑文件。
5 上网时打开杀毒软件实时监控功能。
6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。
清除办法:
1 . 瑞星杀毒软件清除办法:
安装瑞星杀毒软件,升级到19.40.12版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。
篇4:“代理器木马变种AZU”病毒技术细节
病毒的隐藏:
1、病毒在运行后会把自己复制到C:\\Windows目录下并把文件属性设置为隐藏,文件名随机生成,
2、修改注册表项:
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced
键值“ShowSuperHidden” = 0X00000000,修改后系统的Explorer.exe中将不显示隐藏文件,实现的简单的文件隐藏功能,这样用户将不会轻意在C:\\Windows目录下看到病毒主体。
病毒为下次运行做准备
1、每隔1秒,病毒会自动检查所有磁盘并在每个磁盘根目录下生成一个autorun.inf文件,当用我的电脑双击磁盘打开、点击磁盘自动播放或在运行中直接输入盘符进入磁盘时病毒会自动运行。
Autorun.inf文件内容如下:
[AutoRun]
pen=病毒文件名
shellexecute=病毒文件名
shell\\\\Auto\\\\command=病毒文件名
2、修改注册表HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run
键值“ctfmon.exe” = 病毒文件名
在注册表的启动项中增加一个“ctfmon.exe”键值,当系统启动时让病毒也跟随系统一同启动,
病毒的主要工作:
病毒运行后,会自动连接njhacker001.vicp.net 的IP,并且打开本机端口11111进行监听等待恶意用户进行连接。
当机器被恶意用户连接后,被感染的计算机作为代理服务器,被恶意用户使用。
安全建议:
1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次。
2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。
3 不浏览不良网站,不随意下载安装可疑插件。
4 不接收QQ、MSN、Emial等传来的可疑文件。
5 上网时打开杀毒软件实时监控功能。
6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。
清除办法:
瑞星杀毒软件清除办法:
安装瑞星杀毒软件,升级到19.44.10版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。
篇5:勒索蠕虫病毒变种2.0是什么症状
14日,北京市三部门发通知称比特币勒索病毒出现新变种2.0版本,并且该变种的传播速度可能会更快!明天周一,上班族复工后大面积联网打开电脑,可能会产生一批大规模中招!如何应对?
北京市委网信办、北京市公安局、北京市经信委联合发出《关于WannaCry勒索蠕虫出现变种及处置工作建议的通知》。《通知》指出,有关部门监测发现,WannaCry 勒索蠕虫出现了变种:WannaCry 2.0,与之前版本的不同是,这个变种取消了所谓的Kill Switch,不能通过注册某个域名来关闭变种勒索蠕虫的传播。该变种的传播速度可能会更快,该变种的有关处置方法与之前版本相同,建议立即进行关注和处置。
据称,5月12日22:30左右,因全球比特币勒索病毒爆发,中石油公司所属部分加油站正常运行受到波及。病毒导致加油站加油卡、银行卡、第三方支付等网络支付功能无法使用,加油及销售等基本业务运行正常,加油卡账户资金安全不受影响。5月13日1:00,为确保用户数据安全和防止病毒扩散,中石油会同有关网络安全专家连夜开展处置工作,全面排查风险,制定技术解决方案。
中石油5月14日下午在官网发布公告称,因全球比特币勒索病毒爆发,公司所属部分加油站正常运行受到波及。截至5月14日12:00,公司80%以上加油站已经恢复网络连接,受病毒感染的加油站正在陆续恢复加油卡、银行卡、第三方支付功能。
勒索蠕虫病毒(WannaCry)出现变种预警及处置建议
勒索蠕虫毒”(WannaCry)是一种新型病毒,主要以邮件、程序木马、网页挂马的形式传播,一旦感染该病毒,中病毒的电脑文件就会被病毒加密,被感染者一般无法解密,必须支附高额费用拿到解密私钥才能解密,危害性极大。
据有关部门监测发现,WannaCry 勒索蠕虫病毒出现了变种:WannaCry 2.0,与之前版本的不同是,这个变种取消了所谓的Kill Switch,不能通过注册某个域名来关闭变种勒索蠕虫的传播。该变种的传播速度可能会更快,该变种的有关处置方法与之前版本相同,为此,建议使用网络的单位和个人立即进行关注和处置。
一、一旦发现中毒机器,立即断网处置,目前看来对硬盘格式化可清除病毒。
二、目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快为电脑安装此补丁,网址为technet.microsoft.com/zh-cn/library/security/MS17-010;对于XP、等微软已不再提供安全更新的机器,建议升级操作系统版本,或使用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。免疫工具下载地址:dl.360safe.com/nsa/nsatool.exe。
三、启用并打开“Windows防火墙”,进入“高级设置”,在入站规则里禁用“文件和打印机共享”相关规则。关闭UDP135、445、137、138、139端口,关闭网络文件共享。
四、单位内网严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备。
五、尽快备份自己电脑中的重要文件资料到存储设备上。
六、及时更新操作系统和应用程序到最新的版本。
七、加强电子邮件安全,有效的阻拦掉钓鱼邮件,可以消除很多隐患。
八、安装正版操作系统、Office软件等。
篇6:勒索蠕虫病毒变种如何应对防中招
5月12日,WannaCry 勒索蠕虫病毒席卷全球,多个国家和地区的网络系统遭遇大规模攻击。5月14日,记者从威海市公安局网络安全保卫支队获悉,经监测发现威海市部分单位、个人用户的电脑被病毒感染,经过近几日的应急处置后,网络安全保卫部门又发布了WannaCry勒索蠕虫病毒出现变种的最新预警,以及相应的处置方法。
据悉,中国国家网络与信息安全中心经监测发现,WannaCry勒索蠕虫病毒出现了一个新变种WannaCry2.0。与之前版本的不同是,这个变种取消了所谓的Kill Switch,不能通过注册某个域名来关闭变种勒索蠕虫的传播。
该变种病毒的传播速度可能会更快,有关处置方法与之前版本相同,网络安全保卫部门建议各单位和社会公众立即进行关注和处置。
针对WannaCry勒索蠕虫病毒新变种的出现,相关单位应立即组织内网检测,查找所有开放445SMB服务端口的终端和服务器,一旦发现中毒机器,立即断网处置,目前看来对硬盘进行格式化可清除病毒;目前微软已发布补丁MS17-010,修复了“永恒之蓝”攻击的系统漏洞,请广大用户尽快为电脑安装此补丁;对于XP、2003等微软已不再提供安全更新的机器,建议升级操作系统版本,或使用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。
勒索蠕虫病毒究竟有多严重
勒索病毒为何如此猛
电脑屏幕突然显示一封勒索信,能选择中文、韩文、日文、英文等,大致内容是,想要解锁文档,需支付300美金等价的比特币……
5月12日起,我国多所高校遭遇网络勒索病毒攻击。
国家网络与信息安全信息通报中心称:5月12日20时许,新型“蠕虫”式勒索病毒爆发,目前已有100多个国家和地区的数万台电脑遭该勒索病毒感染。
罪魁祸首是“永恒之蓝”病毒
昨日上午,360公司董事长周鸿祎发微博称,此次校园网勒索病毒是由NSA泄露的“永恒之蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口(文件共享),如果系统没有安装今年3月的微软补丁,无需用户任何操作,只要开机上网,“永恒之蓝”就能在电脑里执行任意代码,植入勒索病毒等恶意程序。
国家互联网应急中心介绍,已着手对勒索软件及相关网络攻击活动进行监测,13日9时30分至12时,境内境外约101.1万个IP地址遭受“永恒之蓝”SMB漏洞攻击工具的攻击尝试,发起攻击尝试的IP地址(包括进行攻击尝试的主机地址及可能已感染蠕虫的主机地址)数量9300余个。
当用户主机系统被该勒索软件入侵后,弹出勒索对话框,提示勒索目的并索要比特币。而对于用户主机上的重要文件,如:照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,都被加密的文件后缀名统一修改为“.WNCRY”。
另据《纽约时报》报道,周五开始,黑客利用从美国国家安全局窃取的恶意软件,执行破坏性的网络攻击。本次攻击似乎是迄今为止范围最广的一次勒索软件袭击,损失暂时还无法估量。
“勒索病毒”的特点
腾讯公司的安全专家指出,这次病毒爆发事件,实际上是一次蠕虫攻击,威力等同于当年的conficker。该蠕虫一旦攻击进入能链接公网的用户机器,就会利用内置了EnternalBlue的攻击代码,自动在内网里寻找开启了445端口的机器进行渗透。一旦发现内网中存在漏洞的机器,不仅继续传播内置漏洞扫描的蠕虫病毒,还会传播敲诈者病毒,从而导致用户机器上的所有文档被加密。
为何高校成“重灾区”
国家互联网应急中心发布公告称,此次攻击主要基于445端口,互联网上共900余万台主机IP暴露445端口(端口开放),而中国大陆地区主机IP有300余万台。
中国信息安全研究院副院长左晓栋表示,由于国内曾多次出现利用445端口传播的蠕虫病毒,部分运营商对个人用户封掉了445端口。但是教育网并无此限制,存在大量暴露着445端口的机器,因此成为不法分子使用NSA黑客武器攻击的重灾区。
杭州安恒信息技术有限公司创始人、总裁范渊表示,某些特定行业网成为“重灾区”,是因为没有限制445端口,因此攻击变成有效的攻击,影响了很多学校,还有一小部分医疗机构。
