昨日病毒(2006.04.03) --加糖苦咖啡

昨日病毒(2006.04.03)

关键词：昨日病毒

昨日病毒
统计时段
2006-4-3
病毒样本上报数排行

样本文件名
上报次数
mssave.exe
562
extrmous.exe
528
explore.exe
497
guest.exe
245
phost.exe
218
lup.exe
184
mssvcc.exe
146
newname8.exe
140
mousepad8.exe
113
winsystems.exe
108
keyboard8.exe
71
技术分析
mssave.exe Backdoor/Agobot.chy
大小99K，经过MEW压缩处理。

1、病毒运行后，将自身复制到%SystemDir%文件夹，文件名随机。并在注册表创建启动项，指向病毒程序，如：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft System Saver"="flcnfm.exe"

2、结束多种安全软件和病毒的进程，通过修改hosts文件，屏蔽多个安全网站
3、尝试连接多个IRC服务器接收黑客命令，这些IRC服务器有：
paper.no-ip.biz
holdon.dyndns.org
casi.blogdns.com
comevisit.mentalstate.info
itsthat.mentalstate.info
whore.3xperienced.info
urknot.3xperienced.info
todayis.w33d420.be
digital.w33d420.be
hittin.w33d420.be
billysmells.micr0s0cks.info
buysome.micr0s0cks.info
yes.micr0s0cks.info
udontknow.makaveli7.be
philosophe.makaveli7.be
amalive.makaveli7.be
tupac.makaveli7.be

4、具有反调试功能，可以自动检测SoftICE、VMWare等环境，并向IRC服务器报告，有助于黑客屏蔽IP。

5、通过多种漏洞传播。传播过程中发送大量数据包，可造成染毒计算机运行速度下降，局域网拥堵。

extrmous.exe Backdoor/Agobot.chv
1、病毒运行后，将创建下列文件：
%SystemDir%\extrmous.exe, 262656字节

2、在注册表中添加下列启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Mouse Adaptor" = extrmous.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Mouse Adaptor" = extrmous.exe
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Mouse Adaptor" = extrmous.exe
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Mouse Adaptor" = extrmous.exe
这样，在Windows启动时，病毒就可以自动执行。

3、连接IRC服务器n2.exceed-speed.info接收并执行黑客命令。
4、通过多种系统漏洞传播，可造成中毒计算机运行速度下降，局域网拥堵。

botnet:
n2.exceed-speed.info:10002
PASS sooperdooper
JOIN #nextone# superbots

explore.exe Backdoor/Agobot.chw
1、病毒运行后，将创建下列文件：
%SystemDir%\explore.exe, 111616字节
2、在注册表中添加下列启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"1337 virus" = explore.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"1337 virus" = explore.exe
这样，在Windows启动时，病毒就可以自动执行。
3、连接IRC服务器irc.kr3wzb4se.info接收并执行黑客命令。
4、通过多种系统漏洞传播，可造成中毒计算机运行速度下降，局域网拥堵。

guest.exe Trojan/Delf.kp
1、病毒运行后，将创建下列文件：
%SystemDir%\intasks.exe, 25671字节
%SystemDir%\msinetes.inf, 309字节
%SystemDir%\msinetes.pnf, 3304字节
%SystemDir%\svchest.exe, 15872字节
%SystemDir%\winpub.reg, 540字节
2、在注册表中添加下列启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSService" = svchest.exe
这样，在Windows启动时，svchest.exe就可以自动执行。

3、建立下面服务：
服务名称：Msisvr
服务描述：管理Internet 信息服务管理以及NetBIOS 名称解析的支持。
服务程序：%SystemDir%\INTasks.exe
这样，在Windows启动时，INTasks.exe就可以自动运行。

4、svchest.exe运行后，设置IE主页、搜索页地址为http://xp2006.3322.org；自动打开网页http://www.71791.com, http://www.71791.com/news, http://www.71791.com/goodvip, http://www.71791.com/mm；下载并执行http://xingz.3322.org/images/guest.exe

5、INTasks.exe运行后，负责恢复1、2、3中的病毒文件、注册表数据和服务信息。

phost.exe TrojanProxy.Ranky.dn
木马代理，大小176K，经Asprotect加壳处理。
1、病毒运行后，在注册表中添加下列启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"syshost.exe" = phost.exe
这样，在Windows启动时，病毒就可以自动执行。
2、开启后门代理端口，可供黑客远程使用，成为黑客进行黑客活动的跳板。
lup.exe Backdoor.Agobot
mssvcc.exe Backdoor.Agobot
高波病毒的变种，详细分析报告请参考“昨日病毒(2006.03.13)”中关于lup.exe/mssvcc.exe早先变种的报告。

newname8.exe TrojanDownloader.VB.jr
mousepad8.exe TrojanClicker.Small.gdh
keyboard8.exe TrojanDownloader.VB.jq
keyboard8.exe是个木马下载器。
运行后，首先向一个网络asp脚本提交新增感染报告，提交形式如下：
http://www.nonameforthisdomain.com/teller2.asp?rnd=[随机数]
然后获得一个要下载程序的列表：
http://www.nonameforthisdomain.com/data.asp?rnd=[随机数]&antisp=1
当前下载列表的内容如下：
http://content.dollarrevenue.com/keyboard8.exe，就是keyboard2.exe本身
http://content.dollarrevenue.com/mousepad8.exe，一个广告点击程序，可能弹出广告窗口
http://content.dollarrevenue.com/newname8.exe，木马下载器
winsystems.exe Backdoor/Agobot.chx
1、病毒运行后，将创建下列文件：
%SystemDir%\winsystems.exe, 80842字节
2、在注册表中添加下列启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"winsystems25" = winsystems.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"winsystems25" = winsystems.exe
这样，在Windows启动时，病毒就可以自动执行。
3、连接IRC服务器boughtem.nowslate1703.info，接收并执行黑客命令
4、通过多种系统漏洞传播，传播过程中发送大量数据包，可造成中毒计算机运行速度下降，局域网拥堵。

botnet:
boughtem.nowslate1703.info:22430
JOIN ##ploit,##ploit2 he he

【作者: daishuo】【访问统计:】【2006年04月4日星期二 13:02】【加入博采】【打印】

	- 评论人：泡泡糖 2006-04-16 14:31:26
	lup.exe,晕，杀不死的。越生越多。
	- 评论人：冻结 2006-04-09 23:17:14
	我的sohu帐号被盗了，后来又申请一个联系管理员用。我用刚申请的帐号给sohu管理员发邮件想找回上个的密码。可昨天网上发现新申请的也被盗了！后来昨天半夜杀毒发现我电脑有下面病毒！ Trojan.PSW.Lmir.jkf Trojan.PSW.Lmir.jjo 是两个盗取传奇密码的木马程序，可是它NND盗取我sohu帐号有什么用啊！后来用记事本打开病毒，想看看它代码，或许有盗取后的默认密码什么的，但是乱七八糟的也没搞到。郁闷中！唉！sohu的还是少用吧！没密码保护！我的163.com的怎么没被盗呢！我以前一直用的sohu的邮箱，里面还有好多重要邮件啊！怎么办啊？？？daishu大哥！帮帮我！
	- 评论人：lzp1109 2006-04-08 11:30:33
	太谢谢你了，大哥
	- 评论人：w999888 2006-04-07 18:21:06
	专业反病毒工程师？不会是斑竹小白吧？
	- 评论人：Awing 2006-04-06 19:44:39
	我从google连接到您的blog。近一个月来我们局域网不断有机器中lup.exe mssvcc.exe这种病毒。而且仅发现Windows 2000版本的操作系统染毒，大多是在安装完成后执行Windows Update后被感染。请问高人，这种病毒的源头是来自局域网内部还是Internet？如果这种毒的感染能力仅限于局域网内部，可否给个建议，如何才能够查找到散播病毒的源机器？

加糖苦咖啡

昨日病毒(2006.04.03)

Trackback

博客手拉手

回复

- 评论人：泡泡糖 2006-04-16 14:31:26

- 评论人：冻结 2006-04-09 23:17:14

- 评论人：lzp1109 2006-04-08 11:30:33

- 评论人：w999888 2006-04-07 18:21:06

- 评论人：Awing 2006-04-06 19:44:39

验证码：
评论内容：