病毒檔案
病毒名稱: Net-Worm.Win32.Agent.i
中文名稱: 下載者變種
病毒類型: 蠕蟲類
檔案 MD5: 027439557029E881E05853539E38AD5D
公開範圍: 完全公開
危害等級: 4
檔案長度: 脫殼前 18,944 位元組,脫殼後84,480 位元組
感染系統: Win9X以上系統
開發工具: Borland Delphi 5.0
加殼工具: UPX變形殼
行為分析
1 、衍生下列副本與檔案:
%System32%\DirectX9.dll
%System32%\MOSOU.dll
%System32%\mosou.exe
%System32%\msdebug.dll
%System32%\nwiztlbb.dll
%System32%\nwiztlbu.exe
%System32%\RemoteDbg.dll
%Program Files%\Internet Explorer\PLUGINS\870813.exe
%Program Files%\Internet Explorer\PLUGINS\System64.Jmp
%Program Files%\Internet Explorer\PLUGINS\System64.Sys
2 、新建下列註冊表鍵值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteDbg\Description
Value: String: " 允許 Administrators 組的成員進行遠程調試。 "
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteDbg\DisplayName
Value: String: "Remote Debug Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteDbg\ImagePath
Value: Type: REG_EXPAND_SZ Length: 53 (0x35) bytes
%WINDIR%System32\rundll32.exe RemoteDbg.dll,input.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDebugsvc\Description
Value: String: " 為計算機系統提供 32 位調試服務。如果此服務被禁用,
所有明確依賴它的服務都將不能啟動。 "
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDebugsvc\DisplayName
Value: String: "Win32 Debug Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDebugsvc\ImagePath
Value: Type: REG_EXPAND_SZ Length: 51 (0x33) bytes
%WINDIR%System32\rundll32.exe msdebug.dll,input.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\@
Value: String: "%Program Files%\Common Files\Services\svchost.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\MicrosoftAutorun5
Value: String: "%WINDIR%System32\mosou.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\Microsoft Autorun7
Value: String: "%WINDIR%System32\nwiztlbu.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{754FB7D8-B8FE-4810-B363-A788CD060F1F}\InProcServer32\@
Value: String: "%Program Files%\Internet Explorer\PLUGINS\System64.Sys"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{754FB7D8-B8FE-4810-B363-A788CD060F1F}\@
Value: String: ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\
Installed Components\{2bf41073-b2b1-21c1-b5c1-0701f4155588}\StubPath
Value: Type: REG_EXPAND_SZ Length: 51 (0x33) bytes
%Program Files%\Common Files\Services\svchost.exe.
3 、病毒體下載地址:
www.z*36*3.com(5*.3*.5*.1*2)/yx/zt.exe
www.z*36*3.com(5*.3*.5*.1*2)/yx/cq.exe
www.z*36*3.com(5*.3*.5*.1*2)/yx/mh.exe
www.z*36*3.com(5*.3*.5*.1*2)/yx/wow.exe
4 、病毒體試圖執行下列惡意行為:
net Stop Norton Antivirus Auto Protect Service
net Stop mcshield
net stop "Windows Firewall/Internet Connection Sharing (ICS)"
net stop System Restore Service
Windows Security Center
結束窗體名為下列的進程:
噬菌體
木馬剋星
wopticlean.exe
eghost.exe
kavpfw.exe
roguecleaner.exe
regedit.exe
360safe.exe
5 、衍生檔案 nwiztlbu.exe 包含調用“ ntsd –c q –p % 要結束的進程 pid% ”的惡意代碼:
瑞星卡卡上網助手
AVP
註: % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。
Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝
路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。
清除方案
1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1)使用安天木馬防線結束病毒進程:
%System32%\mosou.exe
%System32%\nwiztlbu.exe
(2)刪除病毒添加的註冊表項:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{754FB7D8-B8FE-4810-B363-A788CD060F1F}\InProcServer32\@
Value: String: "%Program Files%\Internet Explorer\
PLUGINS\System64.Sys"
(3)重新啟動到安全模式下。
(4)刪除病毒釋放檔案:
%System32%\DirectX9.dll
%System32%\MOSOU.dll
%System32%\mosou.exe
%System32%\msdebug.dll
%System32%\nwiztlbb.dll
%System32%\nwiztlbu.exe
%System32%\RemoteDbg.dll
%Program Files%\Internet Explorer\PLUGINS\870813.exe
%Program Files%\Internet Explorer\PLUGINS\System64.Jmp
%Program Files%\Internet Explorer\PLUGINS\System64.Sys
