安天实验室创造就是我们的脚步

安全响应·Security

病毒分析报告·Report

Email-Worm.Win32.Fanbot.d 分析

出处：安天实验室 2005 年 11 月 29 日
安天CERT

病毒标签：
	病毒名称： Email-Worm.Win32.Fanbot.d 病毒类型：邮件蠕虫文件 MD5 ： 521040E494799B8065712D677D980785 公开范围：完全公开危害等级：中文件长度： 37,888 字节感染系统： windows 98 及以上版本开发工具： LCC Win32 加壳类型：未知壳命名对照： Symantec[W32.Mytob.KC@mm] 　　　　　 Mcafee[W32/Mytob.gen@MM]
病毒描述：
	该病毒属邮件蠕虫类，病毒主要通过发送病毒邮件来传播，病毒运行后会复制自身到 %system%\Phantom.exe ，修改注册表文件，创建互斥体，防止该病毒的多个副本同时运行。病毒通过查找 windows 地址簿获取 email 地址，继而发送含有病毒附件的邮件。该病毒还具有 IRC 信道功能，远程控制者可对感染主机进行任意操作。病毒尝试终止反病毒及安全软件相关进程。

行为分析：

1 、病毒运行后复制自身到：

　%system%\Phantom.exe
　%winnt%\Phantom.exe

2 、创建互斥体： '___--->>>[E-v-i-l_S-e-c-u-r-i-t-y_T-e-a-m]<<<---___'

3 、修改注册表文件

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Old value: 字串 : "Explorer.exe" New value: 字串 : "Explorer.exe Phantom.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Old value: 字串 : "C:\WINNT\system32\userinit.exe," New value: 字串 : "userinit.exe,Phantom.exe"

4 、病毒主要通过发送病毒邮件来传播，其中：

邮件主体可能为：
　Notice of account limitation
　Security measures
　Warning Message: Your services near to be closed.
　You have successfully updated your password
　Your Account is Suspended
　Your Account is Suspended For Security Reasons
　Your new account password is approved
　Your password has been successfully updated
　......

正文可能为：
　You have successfully updated the password of your {Random} account.
　If you did not authorize this change or if you need assistance with your
　account, 　please contact {Random} customer service at: {Random}
　Thank you for using {Random}!
　The {Random} Support Team

病毒附件名可能为：

　account-info
　account-password
　account-report
　approved-password
　document
　email-details
　email-password
　important-details
　new-password
　password
　......

5 、病毒具有 IRC 信道功能，远程控制者可对感染主机进行任意操作。

6 、病毒运行后会尝试终止反病毒及安全软件相关进程。

　AGENTW.EXE
　ALERTSVC.EXE
　ALEVIR.EXE
　ALOGSERV.EXE
　AMON9X.EXE
　ANTI-TROJAN.EXE
　ANTIVIRUS.EXE
　ANTS.EXE
　APIMONITOR.EXE
　APLICA32.EXE
　APVXDWIN.EXE
　ARR.EXE
　ATCON.EXE
　ATGUARD.EXE
　ATRO55EN.EXE
　ATUPDATER.EXE
　......

　注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\Winnt\System32 ， windows95/98/me 中默认的安装路径是 C:\Windows\System ， windowsXP 中默认的安装路径是 C:\Windows\System32 。

清除方案：
	1、使用安天木马防线2005+可彻底清除此病毒(推荐)。 2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。 (1) 删除病毒文件：%system%\Phantom.exe 和 %winnt%\Phantom.exe (2) 修改注册表以下子键的字串：　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion 　\Winlogon\Shell 　字串： "Explorer.exe Phantom.exe" 　改为：字串: "Explorer.exe" 　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ 　Winlogon\Userinit 　字串："userinit.exe,Phantom.exe" 　改为：字串: "C:\WINNT\system32\userinit.exe"
附：
	点击此处下载木马防线2005+ 病毒上报信箱: submit@virusview.net

[TOP]

- 英文网站　网站地图　诚聘精英　联系我们 -