蠕虫病毒Win32.Blackmal.G

王朝百科·作者佚名 2010-02-16

病毒名称：蠕虫病毒Win32.Blackmal.G

其它名称：W32.Blackmal.E@mm (Symantec), W32/Mywife!ITW#10 (WildList), Win32/Mywife.L@mm (MS OneCare), W32/Nyxem-H (Sophos), Email-Worm.Win32.Nyxem.e (Kaspersky)

病毒属性：蠕虫病毒危害性：高危害流行程度：中

具体介绍：

病毒特性：

Win32.Blackmal.G是一种通过邮件和网络共享传播的蠕虫。蠕虫是大小为94,154字节，以UPX格式加壳的可运行程序。

感染方式：

运行时Blackmal.G 复制Rundll16.exe 到%Windows% 目录，并运行这个文件。

蠕虫继续使用以下文件名复制到%System%目录：

Winzip.exe

Update.exe

scanregw.exe

并修改以下注册表，为了在每次系统启动时运行"scanregw.exe"：

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunScanRegistry = "scanregw.exe /scan"

这个注册表键值能够重复生成。

蠕虫还会在%System%目录生成一个DLL文件"MSWINSCK.OCX" 。

之后运行Rundll16.exe，使被感染机器上的鼠标和键盘失效。当系统重启时，Blackmal.G 作为"scanregw.exe /scan"被运行，生成两个蠕虫的实例%Windows%Winzip.exe 和 %Windows%Update.exe。每个都会查找另一个文件和scanregw.exe的存在，任一文件被删除都会再次生成。

注：%System%和%Windows%都是可变路径，病毒通过查询操作系统来决定当前这些文件夹的位置。System在Windows2000/NT中默认的安装路径是C:WinntSystem32，windows95/98/me中默认的安装路径是C:WindowsSystem，windowsXP中默认的安装路径是C:WindowsSystem32。Windows在Windows2000/NT中默认的安装路径是C:Winnt，windows95/98/me中默认的安装路径是C:Windows，windowsXP中默认的安装路径是C:Windows。

蠕虫使用Winzip图标：

传播方式 :

通过网络共享传播

Blackmal.G尝试连接，并复制到以下系统管理级共享：

Admin$WINZIP_TMP.exe

c$WINZIP_TMP.exe

随后蠕虫在预定任务列表'%Windows%Tasks'中添加任务，在蠕虫第一次运行的当天的那个小时的第59分钟运行这些文件。

例如，如果蠕虫在下午4点运行，那么它将预定一个任务在下午4：59运行。

它还会复制到c$Documents and SettingsAll UsersStart MenuProgramsStartupWinZip Quick Pick.exe ，并删除 c$Documents and SettingsAll UsersStart MenuProgramsStartupWinZip Quick Pick.lnk。

通过邮件传播

Blackmal.G尝试通过邮件发送病毒，邮件地址从本地机器获取，邮件的主题、内容、附件都是可变的。蠕虫从本地机器中的以下扩展名的文件获取邮件地址：

.HTM

.DBX

.EML

.MSG

.OFT

.NWS

.VCF

.MBX

.IMH

.TXT

.MSF

蠕虫不发送名称中包含以下字符的地址：

@YAHOOGROUPS

BLOCKSENDER

SCRIBE

YAHOOGROUPS

TREND

PANDA

SECUR

SPAM

ANTI

CILLIN

CA.COM

AVG

GROUPS.MSN

NOMAIL.YAHOO.COM

EEYE

MICROSOFT

HOTMAIL

MSN

MYWAY

邮件主题可能是：

Re: Sex Video

Re:

Fw: Picturs

Fw: Funny :)

Fwd: Photo

Fwd: image.jpg

Fw: Sexy

Fw:

Fw: SeX.mpg

Fwd: Crazy illegal Sex!

Fw: DSC-00465.jpg

eBook.pdf

Hello

Fw: Real show

the file

Word file

School girl fantasies gone bad

Hot XXX Yahoo Groups

A Great Video

F**kin Kama Sutra pics

ready to be F**KED ;)

Arab sex DSC-00465.jpg

give me a kiss

*Hot Movie*

VIDEOS! FREE! (US$ 0,00)

Part 1 of 6 Video clipe

Miss Lebanon 2006

You Must View This Videoclip!

邮件内容可能是：

What?

Note: forwarded message attached.

forwarded message attached.

i attached the details.

Thank you

i send the details

bye

how are you?

i send the details.

OK ?

Please see the file.

i just any one see my photos.

The Best Videoclip Ever

一些邮件内容包含空的图像文件，可能带有以下文件名：

DSC-00465.jpg

DSC-00466.jpg

DSC-00467.jpg

photo

photo2

photo3

邮件附件：

蠕虫附加在邮件中进行发送。

附件名称可能是：

New_Document_file.pif

document.pif

007.pif

eBook.PIF

DSC-00465.Pif

有时附加病毒使用uuencoded 编码格式。这个文件需要使用象WinZIP这种工具解码来运行蠕虫。以下是蠕虫附加在附件中的使用的文件名：

Attachments001.BHX

Atta[001],zip[many spaces].SCR

Attachments00.HQX

Attachments,zip[many spaces].SCR

Attachments[001].B64

Attachments[001],B64[many spaces].sCr

Video_part.mim

New Video,zip[many spaces].sCr

Word_Document.hqx

Word.zip[many spaces].sCR

SeX.mim

SeX,zip[many spaces].scR

Sex.mim

WinZip.zip[many spaces].sCR

Word_Document.uu

Word XP.zip[many spaces].sCR

Original Message.B64

ATT01.zip[many spaces].sCR

3.92315089702606E02.UUE

392315089702606E-02,UUE[many spaces].scR

Photos

Photos,zip[many spaces].sCR

Sweet_09

Adults_9,zip[many spaces].sCR

Clipe

Clipe,zip[many spaces].sCr

WinZip.BHX

WinZip.zip[many spaces].sCR

危害

通过注册表修改系统设置

蠕虫从以下注册表位置删除以下键值（如果这些键值存在）：

Keys:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun

HKLMSoftwareMicrosoftWindowsCurrentVersionRun

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices

Values:

NPROTECT

ccApp

ScriptBlocking

MCUpdateExe

VirusScan Online

MCAgentExe

VSOCheckTask

McRegWiz

CleanUp

MPFExe

MSKAGENTEXE

MSKDetectorExe

McVsRte

PCClient.exe

PCCIOMON.exe

pccguide.exe

Pop3trap.exe

PccPfw

PCCIOMON.exe

tmproxy

McAfeeVirusScanService

NAV Agent

PCCClient.exe

SSDPSRV

rtvscn95

defwatch

vptray

ScanInicio

APVXDWIN

KAVPersonal50

kaspersky

TM Outbreak Agent

AVG7_Run

AVG_CC

Avgserv9.exe

AVGW

AVG7_CC

AVG7_EMC

Vet Alert

VetTray

OfficeScanNT Monitor

avast!

DownloadAccelerator

BearShare

蠕虫还会设置以下键值，为了隐藏文件，不在资源管理器中看到（因此能够隐藏病毒的存在）：

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedShowSuperHidden = 0

另外，蠕虫删除HKCUSOFTWARENico Mak ComputingWinZipfilemenu，随后生成这个键值，并添加不同的键值。

如果HKCUControl PanelDNS键值存在并被设置为1，蠕虫就会写入不同的值到HKCUControl PanelBmale 。

删除文件

Blackmal.G从被感染机器上删除以下文件：

%ProgramFiles%LimeWireLimeWire 4.2.6LimeWire.jar

蠕虫删除以下文件夹中的所有文件：

%Program Files%SymantecLiveUpdate

%Program Files%SymantecCommon FilesSymantec Shared

%Program Files%McAfee.comAgent

%Program Files%McAfee.comshared

蠕虫删除以下目录中所有的.DLL为扩展名的文件：

%Program Files%DAP

%Program Files%BearShare

%Program Files%GrisoftAVG7

%Program Files%TREND MICROOfficeScan

%Program Files%Morpheus

蠕虫还会删除以下目录中所有的.EXE文件：

Trend MicroPC-cillin 2002

Trend MicroPC-cillin 2003

Trend MicroInternet Security

Norton AntiVirus

Alwil SoftwareAvast

McAfee.comVSO

NavNT

还会删除以下位置中以.EXE和.PPL为扩展名的文件：

%Program Files%Kaspersky LabKaspersky Anti-Virus Personal

注：%Program Files%是一个可变目录，病毒通过查询操作系统来决定当前Program Files文件夹的位置。一般在以下位置C:Program Files。

蠕虫还会删除C$中以下文件夹中的所有文件：

C$Program FilesNorton AntiVirus

C$Program FilesCommon Filessymantec shared

C$Program FilesSymantecLiveUpdate

C$Program FilesMcAfee.comVSO

C$Program FilesMcAfee.comAgent

C$Program FilesMcAfee.comshared

C$Program FilesTrend MicroPC-cillin 2002

C$Program FilesTrend MicroPC-cillin 2003

C$Program FilesTrend MicroInternet Security

C$Program FilesNavNT

C$Program FilesPanda SoftwarePanda Antivirus Platinum

C$Program FilesKaspersky LabKaspersky Anti-Virus Personal

C$Program FilesKaspersky LabKaspersky Anti-Virus Personal Pro

C$Program FilesPanda SoftwarePanda Antivirus 6.0

C$Program FilesCAeTrust EZ ArmoreTrust EZ Antivirus

另外，Blackmal.G删除以下注册表键值指向的文件夹中不同文件（如果这些键值在被感染机器上存在）：

它删除以下键值指向的文件夹中的所有文件：

HKLMSOFTWAREKasperskyLabInstalledProductsKaspersky Anti-Virus PersonalFolder

它删除以下键值指向的文件夹中的所有的 .exe 和 .ppl 文件：

HKLMSOFTWAREMicrosoftWindowsCurrentVersionApp PathsIface.exePath

它删除以下键值指向的文件夹中的所有的 .exe文件：

HKLMSOFTWARESymantecInstalledAppsNAV

HKLMSoftwareINTELLANDeskVirusProtect6CurrentVersionHome Directory

HKLMSOFTWAREKasperskyLabComponents101

HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstallPanda Antivirus 6.0 PlatinumInstallLocation

覆盖文件

在每个月的第三天，蠕虫在本地驱动器上搜索带有以下扩展名的文件：

.doc

.xls

.mdb

.mde

.ppt

.pps

.zip

.rar

.pdf

.psd

.dmp

如果找到这些文件，它就会使用以下内容替换文件内容：

DATA Error [47 0F 94 93 F4 K5]

关闭窗口

蠕虫关闭标题包含以下字符串的窗口：

SYMANTEC

SCAN

KASPERSKY

VIRUS

MCAFEE

TREND MICRO

NORTON

REMOVAL

FIX

其他信息

如果用户使用资源管理器生成文件，Blackmal.G就在被感染机器的根目录生成病毒副本。例如，如果用户生成"text.txt"文件，蠕虫可能复制病毒到"C:ext.exe"。

同时，当使用资源管理器浏览文件时，如果每个被打开的文件夹存在desktop.ini文件，蠕虫就会修改这个文件，复制WinZip_Tmp.exe到这个文件夹，随后生成Temp.htt文件。

为了掩饰病毒的存在，蠕虫在%System%目录中生成一个空的ZIP文件，并打开它。ZIP文件名称与运行文件名称一样，只是扩展名为".zip"。

Blackmal.G可能在任务栏显示一个信息或一个图标：

蠕虫还会连接到"webstats.web.rcn.net"站点，大概是记录一个新的系统被感染。

清除：

KILL安全胄甲Vet 30.3.3170 版本可检测/清除此病毒。