病毒名称： Worm.Win32.Downloader.nm
病毒类型： 蠕虫
文件 MD5： 659D70B13E9D117DEA8F3DBBC8FC103C
公开范围： 完全公开
危害等级： 4
文件长度： 24,196 字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual C++ 6.0 SPx Method 1
加壳类型： WinUpack 0.39 final -> By Dwing

　　该病毒为蠕虫木马类，病毒运行获取系统进程，查找进程中是否存在AVP.exe（卡巴斯
基杀毒软件），如找到该进程则把当前系统时间修改为2001年，目的使卡巴主动失效，创
建注册表病毒服务项、映像劫持多款安全软件，目的使系统安全性降低，遍历System32目
录查找\s*st.exe的文件，找到svchost.exe文件后，创建一个进程并调用
ReadProcessMemory函数读写该进程内存，调用ZwUnmapViewOfSection获取当前进程映
射的基址，然后调用WriteProcessMemory函数对内存地址写入病毒数据，连接网络读取
列表下载大量恶意文件并运行，给用户清除病毒带来极大的不便。

本地行为：

1、病毒运行获取系统进程，查找进程中是否存在AVP.exe（卡巴斯基杀毒软件），
　 如找到该进程则把当前系统时间修改为2001年，目的使卡巴主动失效。

2、创建注册表病毒服务项：

　　　　[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
　　　　\Enum\Root\LEGACY_MHFP\0000\Service]
　　　　注册表值: "mhfp"
　　　　类型： REG_SZ
　　　　值："Mhfp"
　　　　描述: 服务描述

　　　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　　　\Services\Mhfp\Description]
　　　　注册表值: "DisplayName"
　　　　类型： REG_SZ
　　　　值："Mhfp"
　　　　描述: 服务描述

　　　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　　　\Services\Mhfp\DisplayName]
　　　　注册表值: "DisplayName"
　　　　类型： REG_SZ
　　　　值：" Mhfp"
　　　　描述: 服务名称

　　　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　　　\Services\Mhfp\ErrorControl]
　　　　注册表值: "ErrorControl"
　　　　类型： REG_SZ
　　　　值："DWORD: 1 (0x1)"
　　　　描述: 服务控制

　　　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　　　\Services\Mhfp\ImagePath]
　　　　注册表值: "ImagePath"
　　　　类型： REG_SZ
　　　　值：" \??\C:\DOCUME~1\a\LOCALS~1\Temp\~wxp2ins.234.tmp"
　　　　描述: 服务映像文件的启动路径

　　　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　　　\Services\Mhfp\Start]
　　　　注册表值: "Start"
　　　　类型： REG_SZ
　　　　值："DWORD: 3 (0x3)"
　　　　描述: 服务的启动方式，手动

　　　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　　　\Services\Mhfp\Type]
　　　　注册表值: "Type"
　　　　类型： REG_SZ
　　　　值："DWORD: 3 (0x3)"
　　　　描述: 服务类型

3、映像劫持多款安全软件：

　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows NT\CurrentVersion
　　　　\Image File Execution Options\被映像劫持的文件名称]
　　　　新建键值: "Debugger"
　　　　类型： REG_SZ
　　　　字符串： “C:\WINDOWS\system32\svchost.exe”

　　　　劫持文件名列表：
　　　　360rpt.exe、360safebox.exe、360tray.exe、adam.exe、
　　　　AgentSvr.exe、AppSvc32.exe、ati2evxx.exe、autoruns.exe、
　　　　avconsol.exe、avgrssvc.exe、AvMonitor.exe、avp.com、avp.exe、
　　　　CCenter.exe、ccSvcHst.exe、egui.exe、esafe.exe、FileDsty.exe、
　　　　FTCleanerShell.exe、HijackThis.exe、IceSword.exe、idag.exe、
　　　　Iparmor.exe、isPwdSvc.exe、kabaload.exe、kaccore.exe、
　　　　KaScrScn.SCR、KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、
　　　　KAVPF.exe、KAVPFW.exe、KAVSetup.exe、KAVStart.exe、kavsvc.exe、
　　　　KAVsvcUI.exe、KISLnchr.exe、kissvc.exe、KMailMon.exe、
　　　　KMFilter.exe、KPFW32.exe、kpfwsvc.exe、KPPMain.exe、KRegEx.exe、
　　　　KRepair.com、KsLoader.exe、KVCenter.kxp、KvDetect.exe、
　　　　KVFW.EXE、KvfwMcl.exe、KVMonXP_1.kxp、kvol.exe、kvolself.exe、
　　　　KvReport.kxp、KVScan.kxp、KVsrvXP.exe、KVStub.kxp、kvupload.exe、
　　　　KVwsc.exe、kwatch.exe、KWatch9x.exe、KWatchX.exe、MagicSet.exe、
　　　　mcconsol.exe、mmqczj.exe、mmsk.exe、navapsvc.exe、Navapw32.exe、
　　　　nod32krn.exe、NPFMntor.exe、OllyDBG.EXE、OllyICE.EXE、PFW.exe、
　　　　PFWLiveUpdate.exe、procexp.exe、QHSET.exe、qqdoctor.exe、qqkav.exe、
　　　　qqsc.exe、Ras.exe、rav.exe、rav.exe、RAVmon.exe、RAVmonD.exe、
　　　　ravstub.exe、ravtask.exe、ravtimer.exe、ravtool.exe、RegClean.exe、
　　　　regtool.exe、rfwmain.exe、FYFireWall.exe、rfwproxy.exe、
　　　　FYFireWall.exe、rfwsrv.exe、rfwstub.exe、rising.exe、Rsaupd.exe、
　　　　runiep.exe、safebank.exe、safeboxtray.exe、safelive.exe、
　　　　scan32.exe、shcfg32.exe、SmartUp.exe、SREng.EXE、symlcsvc.exe、
　　　　SysSafe.exe、TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、
　　　　UIHost.exe、UIHost.exe、UmxAgent.exe、UmxAttachment.exe、
　　　　UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、UpLive.exe、vsstat.exe、
　　　　webscanx.exe、WinDbg.exe、WoptiClean.exe

4、遍历System32目录查找\s*st.exe的文件，找到svchost.exe文件后，创建一个进程并
　 调用ReadProcessMemory函数读写该进程内存，调用ZwUnmapViewOfSection获取当前
　 进程映射的基址，然后调用WriteProcessMemory函数对内存地址写入病毒数据，连接网
　 络读取列表下载大量恶意文件并运行。

网络行为:

1、协议：TCP
　 端口：80
　 连接服务器名：http://www.ip***.cn/uc.txt
　 IP地址：121.10.107.**
　 　　 描述：连接服务器读取TXT列表内容下载病毒，读取的列表内容：
　 　　 [5]
　　　　20080512 http://www.ibmle****.net.cn/down/e1.exe
　　　　20080512 http://www.ibmle****.net.cn/down/r2.exe
　　　　20080512 http://www.ibmle****.net.cn/down/a3.exe
　　　　20080512 http://www.ibmle****.net.cn/down/j4.exe
　　　　20080512 http://www.ibmle****.net.cn/down/y5.exe
　　　　20080512 http://www.ibmle****.net.cn/down/m6.exe
　　　　20080512 http://www.ibmle****.net.cn/down/r7.exe
　　　　20080512 http://www.ibmle****.net.cn/down/i8.exe
　　　　20080512 http://www.ibmle****.net.cn/down/x9.exe
　　　　20080512 http://www.ibmle****.net.cn/down/l10.exe
　　　　20080512 http://www.li****.cn/down/b11.exe
　　　　20080512 http://www.li****.cn/down/z12.exe
　　　　20080512 http://www.li****.cn/down/m13.exe
　　　　20080512 http://www.li****.cn/down/n14.exe
　　　　20080512 http://www.li****.cn/down/o15.exe
　　　　20080512 http://www.li****.cn/down/g16.exe
　　　　20080512 http://www.li****.cn/down/j17.exe
　　　　20080512 http://www.li****.cn/down/l18.exe
　　　　20080512 http://www.li****.cn/down/c19.exe
　　　　20080512 http://www.li****.cn/down/t20.exe
　　　　20080512 http://www.mo****.cn/down/p21.exe
　　　　20080512 http://www.mo****.cn/down/x22.exe
　　　　20080512 http://www.mo****.cn/down/m23.exe
　　　　20080512 http://www.mo****.cn/down/o24.exe
　　　　20080512 http://www.mo****.cn/down/b25.exe
　　　　20080512 http://www.mo****.cn/down/e26.exe
　　　　20080512 http://www.mo****.cn/down/v27.exe
　　　　20080512 http://www.mo****.cn/down/m28.exe
　　　　20080512 http://www.mo****.cn/down/u29.exe
　　　　20080512 http://www.mo****.cn/down/h30.exe
　　　　20080512 http://www.mo****.cn/down/b31.exe
　　　　20080512 http://www.mo****.cn/down/c32.exe
　　　　20080512 http://www.mo****.cn/down/u33.exe
　　　　20080512 http://www.mo****.cn/down/z34.exe

注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
　　
　　　　%Windir% 　　　　　 　　　　　 WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　 逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　 系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　\当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是C:\Windows\System
　　　　windowsXP中默认的安装路径是C:\Windows\System32　　
　　　　　　　　

1 、使用安天防线2008可彻底清除此病毒(推荐)，
　 　请到安天网站下载： www.antiy.com　
2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
　 (1)使用ATOOL“进程管理”关闭病毒相关进程。
　 (2)删除病毒服务注册表项：
　 　 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　 　 \Enum\Root\LEGACY_MHFP\0000\Service]
　 　 键值：" Mhfp"
　 　 删除Mhfp键值
　 　 [HKEY_LOCAL_MACHINE\SYSTEM
　 　 \CurrentControlSet\Services]
　 　 键值："Mhfp"
　 　 删除Mhfp键值
　 　 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 \Windows NT\CurrentVersion]
　 　 键值："Image File Execution Options"
　 　 删除注册表Image File Execution Options键值

点击此处下载安天防线2008

病毒上报信箱: submit@virusview.net