其它名稱
Win32.Luder.C , Win32/Luder.C!corrupt, Win32/Mixor!Worm, W32.Mixor.C@mm (Symantec), W32/Nuwar@MM (McAfee), Email-Worm.Win32.Luder.d (Kaspersky)
病毒屬性:蠕蟲病毒危害性:中等危害流行程度:高
具體介紹
病毒特性:
Win32/Luder.C是一種通過郵件傳播的蠕蟲,並暫存在PE 檔案和RAR 檔案中進行傳播。另外,它還會生成一個特洛伊,用來下載並運行其它的惡意程式。它是大小為15,947 位元組,以 UPX格式加殼的Win32可運行程式。
感染方式:
運行時,Luder.C複製wservice.exe到%System%目錄,並設定檔案屬性為隱藏。隨後,修改以下註冊表鍵值,以確保在每次系統啟動時運行這個副本:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\UpdateService = "%System%\wservice.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\UpdateService = "%System%\wservice.exe"
蠕蟲還生成"Kusyyyy"互斥體,以確保它的多個副本不會同時運行。
註:'%System%'是一個可變的路徑。病毒通過查詢作業系統來決定當前系統資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
傳播方式:
通過郵件傳播
蠕蟲從本地系統獲取郵件地址來傳送病毒。它通過以下註冊表鍵值在Windows Address Book中查找郵件地址:
HKCU\Software\Microsoft\WAB\WAB4\Wab File Name
接著,搜尋從 'Z:\' 到 'C:\' 驅動器上帶有以下擴展名的檔案:
rar
scr
exe
htm
txt
hta
蠕蟲在每個"htm","txt" 和"hta" 檔案中查找郵件地址。
蠕蟲執行DNS MX (mail exchanger)查詢,為每個域找到適合的郵件伺服器來傳送病毒。它使用本地配置的默認的DNS伺服器來執行這些查詢。
Luder.C嘗試傳送郵件到它收集的每個郵件地址。蠕蟲傳送的郵件帶有以下特點:
發件地址:
蠕蟲使用任意名稱(從蠕蟲自帶的一個列表中選擇)帶有一個任意數字,和接受目標的域名結合,生成一個偽造的收件地址,例如:[email protected]。
主題可能是:
URGENT NEWS!
ATTN
NEWS!
Incredible news!
READ AND RESEND ASAP!
ATTN TO EVERYBODY!
URG
White house news!
郵件內容可能是:
President Bush DEAD! Read attached file!
President Putin dead! Read more in attached file!
Nuclear WAR in USA! Read attached file!
Nuclear War in Russia! Read news in file!
GLOBAL NUCLEAR WAR JUST STARTED! News in file.
Putin and Bush starts NUCLEAR WAR! Check the file!
3rd Glogal War Just Started!!! Read more in file!
附屬檔案名稱:
read me.exe
latest news.exe
never.exe
a.exe
about me.exe
last.exe
war.exe
truth.exe
open.exe
通過檔案感染-PE檔案
Luder.C每次發現一個帶有"exe" 或 "scr" 擴展名的檔案,都使用<random name>.t檔案名稱複製病毒到檔案所在目錄,並設定為隱藏檔案。
註:<random name>由8個小寫字母組成。例如:"vrstmkgk.t"。
Luder.C檢查檔案的PE頭,來查看是否有足夠的空間運行,並在中間插入一個代碼。另外,它不會感染已經被感染的DLL或執行檔。如果被運行,它首先運行相關的<random name>.t。Luder.C在被感染檔案的PE頭的timestamp中寫入666作為一個標記,避免再次感染同一檔案。
註:生成的<random name>.t檔案即使不滿足感染的所有條件,也不會被Luder.C修改。
通過檔案感染-RAR檔案
Luder.C添加<random filename>.exe到每個發現的RAR文檔中,這裡的<random filename>是7個字母與數字,例如"dnoCV18.exe"。每當Luder.C運行時,文檔可能被多次感染。
危害:
下載並運行任意檔案
Luder.C在被感染機器上生成Win32/Sinteri!downloader特洛伊。同時,這個特洛伊下載並運行以下惡意程式:
Win32/Luder.H worm
Win32/Sinray trojan
Win32/Sinhar trojan
Win32/Sinteri trojan
終止進程
每隔4秒,如果註冊表編輯器(regedit.exe)和名稱中包含以下字元串的其它進程(顯示在Windows Title Bar中)正在運行,Luder.C就會嘗試終止註冊表編輯器和這些進程:
"anti"
"viru"
"troja"
"avp"
"nav"
"rav"
"reged"
"nod32"
"spybot"
"zonea"
"vsmon"
"avg"
"BlackICE"
"firewall"
"msconfig"
"lockdown"
"f-pro"
"hijack"
"taskmgr"
"mcafee"
修改系統設定
Luder.C修改以下註冊表鍵值,使得"Windows Firewall/Internet Connection Sharing (ICS)"(還稱為"Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)")服務失效:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Start = 4
清除
KILL安全胄甲InoculateIT 23.73.42,Vet 30.3.3172版本可檢測/清除此病毒。
