P2P-Worm.Win32.Niklas.y

病毒名称： P2P-Worm.Win32.Niklas.y

病毒类型： 蠕虫

文件 MD5： 79F9937933F4362783B9FB90129AA281

公开范围： 完全公开

危害等级： 中

文件长度： 12,288 字节

感染系统： Windows 98 及以上版本

开发工具： Borland Delphi 6.0 - 7.0

加壳类型： UPX

命名对照： Symentec[W32.HLLW.Niklas]

Mcafee[无]

病毒描述：

该病毒属蠕虫类，病毒主要通过p2p软件传播，如：Grokster、BearShare、Kazaa等，病毒运行后复制原病毒文件到%windir%下，病毒通过修改并查找注册表文件，达到将原病毒副本添加到启动项并查找出以安装的p2p软件，从而复制原病毒副本到p2p软件目录下，尝试传播。病毒也会通过遍历系统中某些目录，并尝试复制原病毒副本到这些目录中。病毒运行后还会遍历系统当前进程，尝试终止某些反病毒及安全软件的进程，并搜索注册表文件，删除其中某些反病毒及安全软件的键值。

行为分析：

1、复制原病毒体到：

%windir%melis.exe

%windir%

az.scr

%windir%empproject32<random>.exe

2、对注册表文件进行新建、查找、删除操作：

新建如下键值：

HKEY_LOCAL_METHINESOFTWAREMicrosoft

WindowsCurrentVersionRun

键值：字串：MELIS = "%Windir%melis.exe”

HKEY_CURRENT_USERSoftwareKazaaLocalContent

键值：字串：DisableSharing" = "0"

查找以下p2p软件的相关键值，若存在则复制原病毒体到这个文件夹内，等待传播：

HKEY_CURRENT_USERSoftwareKazaaTransferDlDir0

HKEY_CURRENT_USERSoftwareKazaaLocalContent

DownloadDir

HKEY_CURRENT_USERSoftwareiMeshClient

LocalContentDownloadDir

HKEY_CURRENT_USERSoftwareShareazaShareaza

TransfersDownloadsPath

HKEY_CURRENT_USERSoftwareMicrosoftInternet Explorer

Download Directory

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

ExplorerShell FoldersPersonal

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

ExplorerShell FoldersDesktop

HKEY_LOCAL_METHINESOFTWARELimeWireInstallDir

HKEY_LOCAL_METHINESoftwareMirabilisICQ

DefaultPrefsReceive Path

删除某些反病毒及安全软件相应的注册表键值：

注册表项：

HKEY_CURRENT_USERSoftwareMicrosoftWindows

CurrentVersionRun

HKEY_CURRENT_USERSoftwareMicrosoftWindows

CurrentVersionRunServices

键值：

AVPCC

AVPCC Service

BlackIce Utility

F-StopW

McAfee Firewall

McAfee Winguage

McAfee.InstantUpdate.Monitor

McAfeeVirusScanService

McAfeeWebscanX

McAgentExe

McUpdateExe

NAV Agent

NAV Configuration Wizard

NAV DefAlert

NB Common Dialog Enhancements

NB Start Menu

……

3、遍历以下目录，并尝试复制原病毒体到该目录中：

%ProgramFiles%GroksterMy Grokster

%ProgramFiles%WinMXMy Shared Folder

%ProgramFiles%ICQShared Files

%ProgramFiles%Kazaa LiteMy Shared Folder

%ProgramFiles%KMDMy Shared Folder

%ProgramFiles%LimeWireShared

%ProgramFiles%BearShareShared

%ProgramFiles%RapigatorShare

%ProgramFiles%mIRCDownload

……

4、病毒运行后还会遍历系统当前进程，尝试终止某些反病毒及安全软件的进程：

AVSCHED32.EXE

AVWIN95.EXE

AVWUPD32.EXE

BLACKD.EXE

BLACKICE.EXE

CFIADMIN.EXE

CFIAUDIT.EXE

CFINET.EXE

CFINET32.EXE

CLAW95.EXE

LOCKDOWN2000.EXE

LOOKOUT.EXE

LUALL.EXE

MOOLIVE.EXE

MPFTRAY.EXE

N32SCANW.EXE

……

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32，windows95/98/me中默认的安装路径是C:WindowsSystem，windowsXP中默认的安装路径是C:WindowsSystem32。

--------------------------------------------------------------------------------

清除方案：

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

(2) 删除病毒文件

%windir%melis.exe

%windir%

az.scr

%windir%empproject32<random>.exe

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_METHINESOFTWAREMicrosoftWindowsCurrentVersionRun

键值：字串：MELIS = "%Windir%melis.exe”