Worm.Anig.e
病毒别名:Worm.Win32.Anig.e[AVP]
处理时间:
威胁级别:★★
中文名称:阿泥哥
病毒类型:蠕虫
影响系统:WinNT
病毒行为:
这是一个蠕虫病毒,与此病毒相关的是一个DLL文件ntgina.dll,病毒首先将自身以及当前目录下的DLL文件ntgina.dll复制到系统目录%system%,然后将系统目录中的副本加载到注册表的启动项,并将该副本创建为自启动服务。通过修改注册表,使得在用户登陆系统之前加载DLL文件ntgina.dll,从而盗取用户的登陆密码。病毒还可以通过弱密码攻击远程系统进行主动传播,如果连接远程主机成功,则将自身复制到目标主机的目录:ADMIN$SYSTEM32,然后连接远程主机的注册表并将病毒加载到注册表的启动项。病毒连接ICQ网址的端口5190发送上线通知,然后打开后门端口5190,利用ICQ软件进行远程控制或者传播。
1.将自身复制到%system%目录,并尝试将当前目录下的DLL文件ntgina.dll复制并替换we%system%
tgina.dll.
2.修改注册表。
将自身在系统目录的副本添加为自启动服务dfcsvc:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesdfcsvc
"Type"=dword:00000110
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"="<病毒文件名> /dfcsvc"
"DisplayName"="Distributed File Controller"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,53,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesdfcsvcSecurity
"Security"="<系统相关>"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesdfcsvcEnum
"0"="Root\LEGACY_DFCSVC\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_DFCSVC
"NextInstance"=dword:00000001
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_DFCSVC�000
"Service"="dfcsvc"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"=""
"DeviceDesc"="Distributed File Controller"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_DFCSVC�000Control
"*NewlyCreated*"=dword:00000000
"ActiveService"="dfcsvc"
将自身加载到启动项:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
"Osa32"="<病毒原始文件名>"
添加与登陆相关的注册表项:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
"Ram32Data"="AMBIILKKEBMCFLLCNBMDICAFNBFCBLFK"
"Ram32ID"="<随机字符串>"
"Ram32Group"="UNK"
"GinaDll"="ntgina.dll"
3.通过修改"GinaDll"注册表键值,使得用户登陆之前加载病毒的DLL文件,如果该文件存在就可以盗取用户的登陆密码。
4.病毒还可以通过弱密码攻击远程系统进行主动传播,如果连接成功,则将自身复制到目标主机的目录:ADMIN$SYSTEM32,然后连接远程主机的注册表并将病毒加载到注册表的启动项。
5.病毒连接ICQ网址的端口5190发送上线通知,然后打开后门端口5190,利用ICQ软件进行远程控制或者传播。