安全响应·Security
病毒分析报告·Report

Email-Worm.Win32.Nyxem.e分析

出处:安天实验室 2006 年 03 月 10 日
安天CERT

病毒标签:

病毒名称: Email-Worm.Win32.Nyxem.e
病毒类型: 邮件蠕虫
文件 MD5: 1C66904ECB846DA5B1FB2072F9EA6E0E
公开范围: 完全公开
危害等级: 高
文件长度: 95,690 字节
感染系统: Windows 98 及以上版本
开发工具: Microsoft Visual Basic 5.0 / 6.0
加壳类型: UPX
命名对照: Symentec[无]
      Mcafee[无]
病毒描述:
   该病毒属邮件蠕虫类,病毒盗用WINZIP图标,借以欺骗用户浏览。病毒主要通过发送含有病毒附件的邮件进行传播。病毒运行后复制原病毒体到%System%\Sample.zip,而后复制原病毒体到%wnidir%\及%System%\下,修改注册表文件,添加到启动项,达到随系统启动的目的。病毒通过搜索感染主机上某些扩展名的文件获取其中的邮件地址来发送邮件。病毒还会尝试终止某些反病毒及安全软件的相关进程,并尝试删除%ProgramFiles%\下这些软件的相关文件,该病毒对用户有一定的危害。
行为分析:

1、病毒运行后复制原病毒体到:

%System%\Sample.zip
%System%\New WinZip File.exe
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe
%System%\WINZIP_TMP.EXE
%Start Menu%Programs\Startup\WinZip Quick Pick.exe
%Windir%\rundll16.exe

2、修改注册表文件:
新建以下键值:

HKEY_LOCAL_METHINE\Software\Microsoft\Windows
\CurrentVersion\Run
键值:字串: "ScanRegistry"="scanregw.exe /scan"

查找某些反病毒及安全软件的相关键值并尝试删除:
位置:

HKEY_LOCAL_METHINE\Software\Microsoft\Windows
\CurrentVersion\Run
HKEY_LOCAL_METHINE\Software\Microsoft\Windows
\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run

对应键值:

PCCClient.exe
pccguide.exe
PCCIOMON.exe
PccPfw
Pop3trap.exe
rtvscn95
ScanInicio
SSDPSRV
TM Outbreak Agent
tmproxy
Vet Alert
VetTray
vptray
NPROTECT
ccApp

3、病毒运行后尝试查找以下扩展名的文件,并从中获取邮件地址继而发送邮件,病毒通过SMTP服务器发送邮件。

dbx
mbx
msg
nws
oft
txt
eml
imh
msf
htm

病毒邮件的题目可能为:

Fw: DSC-00465.jpg
Fw: Funny :)
Fw: Picturs
Fw: Real show
Fw: SeX.mpg
Fw: Sexy
Fwd: Crazy illegal Sex!
Fwd: image.jpg
……

病毒邮件的主体可能为:

how are you? i send the details.
i attached the details. Thank you.
Hot XXX Yahoo Groups
i just any one see my photos. It's Free :)
Note: forwarded message attached. You Must View This Videoclip!
……

病毒附件可能为:

007.pif
392315089702606E-02,.scR
677.pif
Adults_9,zip.sCR
Arab sex DSC-00465.jpg
ATT01.zip.sCR
eBook.pdf
eBook.PIF
Clipe,zip                    .sCr
WinZip,zip                    .scR
Adults_9,zip                    .sCR
Photos,zip                      .sCR
Attachments[001],B64                   .sCr
392315089702606E-02,UUE                   .scR
SeX,zip                    .scR
WinZip.zip                   .sCR
ATT01.zip                   .sCR
Word.zip                    .sCR
Word XP.zip                    .sCR
New Video,zip                       .sCr
Attachments,zip                  .SCR
Atta[001],zip                   .SCR
……

4、病毒遍历系统当前进程,并尝试终止含有以下字符串的进程,病毒还会尝试删除%ProgramFiles%\下这些反病毒及安全软件的相关文件:

kaspersky
removal
mcafee
scan
norton
symantec
trend micro
virus
……

5、病毒也可应通过网络共享传播,如:

\c$\Documents and Settings\All Users\Start Menu
\Programs\Startup\WinZip Quick Pick.exe
\c$\Documents and Settings\All Users\Start Menu
\Programs\Startup\WinZip Quick Pick.lnk
\Admin$\WINZIP_TMP.exe
\c$\WINZIP_TMP.exe

注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32windows95/98/me中默认的安装路径是C:\Windows\SystemwindowsXP中默认的安装路径是C:\Windows\System32
清除方案:
 

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程:

Sample.zip
New WinZip File.exe
scanregw.exe
Update.exe
Winzip.exe
WINZIP_TMP.EXE

(2) 删除病毒文件:

%System%\Sample.zip
%System%\New WinZip File.exe
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe
%System%\WINZIP_TMP.EXE
%User Profile%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
%Windir%\rundll16.exe

(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_METHINE\Software\Microsoft\Windows\CurrentVersion\Run
键值:字串: "ScanRegistry"="scanregw.exe /scan"
附:
 

点击此处下载木马防线2005+

病毒上报信箱: submit@virusview.net
[TOP]