Worm.Win32.WebDown.a

Worm.Win32.WebDown.a是一個蠕蟲型病毒，通過枚舉區域網路地址、獲取被感染者當前的連線、下載ip地址信息的方式獲取ip地址，並對這些地址嘗試進行傳播。病毒同時下載程式進行運行。病毒由VC6語言編寫，加殼保護。

簡介

危險等級：★★★
病毒名稱：Worm.Win32.WebDown.a
截獲時間：2007-12-20
入庫版本：20.23.32
類型：感染型病毒
感染的作業系統：Windows所有版本系統
威脅情況：
傳播級別：高
全球化傳播態勢：低
清除難度：困難
破壞力：高
破壞手段：網路傳播、下載

表現與查殺

1、檢查運行狀態：
病毒運行後首先檢測自己的是否是以“%system32%\IME\svchost.exe”運行，如不是則進行複製自己等初始化操作，反之則以服務方式運行。
2、初始化操作：
病毒刪除“%system32%\IME\svchost.exe”，然後複製自己為該檔案，並將屬性設定為系統、隱藏，然後病毒調用CreateProcessA啟動“%system32%\IME\svchost.exe”。
病毒啟動“%system32%\IME\svchost.exe”後，釋放批處理檔案rs.bat並執行，以此來刪除自己。
3、註冊為服務運行：
病毒通過調用StartServiceCtrlDispatcher、CreateServiceA等函式，註冊名稱為“AlerterCOM+”、目標為“%system32%\IME\svchost.exe”的服務，然後調用StartServiceA啟動服務。
4、病毒的服務過程
病毒調用CreateMutexA嘗試生成名為“"AlerterCOM+”的互斥量，如失敗則退出，以此來保證只有一個服務實例在運行。
病毒啟動4個工作執行緒嘗試進行網路傳播和下載（詳細見後面）。
病毒根據標誌決定是否對本地固定邏輯盤建立AutoRun機制（詳細見後面）。
病毒註冊並生成視窗類名為“WebDown”、視窗名為“AlerterCOM+”的隱藏視窗，並啟動訊息循環，然後向該視窗傳送WM_DEVICECHANGE訊息。
5、在固定磁碟中建立AutoRun實現自啟動：
病毒根據標誌（寫在病毒內，推測為生成病毒時設定的）決定是否對固定硬碟建立自動運行機制。
如標誌為建立，病毒對c到z邏輯盤調用GetDriveTypeA，對類型為DRIVE_FIXED的固定邏輯盤建立自動運行機制。
病毒複製自己到該邏輯盤根目錄下，名稱為“setup.exe”，並生成AutoRun.inf檔案以達到自動運行，病毒將setup.exe和AutoRun.inf的檔案屬性設定為系統和隱藏。
6、視窗訊息處理：
在視窗循環中，病毒處理如下訊息：
WM_CLOSE、WM_DESTROY訊息，病毒調用默認視窗處理過程。
WM_CREATE訊息，在視窗生成的時候，病毒調用SetTimer建立兩個Timer，間隔為1秒和20分鐘，回調方式為接收WM_TIMER訊息。
WM_TIMER訊息，病毒沒隔1秒調用破壞反病毒軟體和複製自己的代碼（詳細見後面），每隔20分鐘嘗試下載http://www.XXXXX.cn/jj/svch0st.exe為本地%system32%\down.exe並運行。
WM_DEVICECHANGE訊息，病毒通過處理該訊息得到新插入的可移動設備，並對該設備進行感染（寫入病毒並建立AutoRun機制）。
7、破壞反病毒軟體和複寫檔案：
病毒在通過處理WM_TIMER訊息，每隔1秒檢測並破壞反病毒軟體。病毒通過調用GetCursorPos、WindowFromPoint、GetParent等函式獲取當前游標下的視窗及其頂層父視窗，檢測其視窗標題中是否是或包含如下內容：
Windows任務管理器、安全衛士、掃描、專殺、註冊表、Process、進程、木馬、防禦、防火牆、病毒、檢測、Firewall、virus、anti、金山、江民、卡巴斯基、worm、防毒
如包含這些內容，病毒通過向其傳送WM_DESTROY、WM_CLOSE訊息來破壞這些視窗，以此來破壞反病毒軟體的運行。
病毒通過處理WM_TIMER訊息，每隔1秒複製自己並複寫註冊表，以保護自己。病毒將自己複製為%system32%下的internt.exe和progmon.exe，並寫入如下註冊表信息：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\Folder\Hidden\SHOWALL"CheckedValue"=0X00000000
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"Internt"=%SYSTEM%\INTERNT.EXE
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"Programfile"=%SYSTEM%\PROGMON.EXE
工作執行緒1：
病毒嘗試下載http://www.XXXXX.cn/jj/conn.exe為本地%system32%\BindF.exe並運行。
工作執行緒2：
病毒從http://www.XXXXX.cn/jj/下載如下檔案到%system32%\目錄：
ArpW.exe、nogui.exe、wpcap.dll、packet.dll、wanpacket.dll、arp.exe
病毒獲取當前網段(例如193.168.0.55)，並將最後一個欄位替換為%s2-%s255，然後以如下參數啟動ArpW.exe。
“ArpW.exe-idx0-ip193.168.0.2-255-port80-insert""”
病毒通過下載的ARP欺騙病毒，將代碼插入區域網路中的http包中。
工作執行緒3：
病毒從病毒從http://www.XXXXX.cn/jj/下載psexec.exe和server.exe到本地%system32%目錄。
在此執行緒中，病毒每隔30分鐘循環執行如下代碼感染網路：
（1）感染區域網路計算機。病毒獲取本機ip後以此遍曆局域網，通過自帶的用戶名和密碼字典（見後面）嘗試將psexec.exe和server.exe寫入區域網路中其它計算機的%system32%目錄，然後以如下命令行啟動psexec.exe。
"%system32%\psexec.exe\\192.168.0.2-u用戶名-p"密碼"-c%system32%\servrr.exe-d"
（2）感染指定ip的計算機。病毒下載"http://union.itlearner.com/ip/getip.asp"，並通過在其中搜尋“inputname=\"ip\”來獲取ip地址，然後利用用戶名和密碼字典嘗試對該ip地址的計算機寫入psexec.exe和server.exe並啟動運行。
（3）感染當前連線的計算機。病毒通過調用GetTcpTable、GetUdpTable等函式獲取當前連線的計算機的ip地址，然後利用用戶名和密碼字典嘗試對該ip地址的計算機寫入psexec.exe和server.exe並啟動運行。
用戶名和密碼字典如下：
用戶名：administrator、admin、guest、alex、home、love、user、game、movie、time、yeah、money、xpuser
密碼：NULL、password、123456、qwerty、abc123、memory、12345678、88888、5201314、1314520、asdfgh、angel、asdf、baby、woaini
工作執行緒4：
病毒每隔1秒，循環嘗試下載http://www.XXXXX.cn/jj/svch0st.exe到本機%system32%並運行。
8、病毒的感染代碼：
在病毒體中包含了感染代碼，但病毒本身並未調用。該感染代碼中存在api地址硬編碼等問題，在運行時會出現問題。
在感染代碼中保護如下操作：
病毒首先複製自己為%system32\drivers\svchost.exe。
病毒將自己複製到如下目錄，名稱為隨機檔案名稱.exe：
%system32\drivers\、%system32\dllcache\、%system32\IME\
c:\ProgramFiles\CommonFiles\MicrosoftShared\、
c:\ProgramFiles\InternetExplorer\ConnectionWizard\、
c:\ProgramFiles\WindowsMediaPlayer\、
c:\WINDOWS\addins\、
c:\WINDOWS\system\
病毒遍歷c到z的邏輯盤，對所有目錄進行感染，但排除保護如下字元串的目錄：
WindowsMediaPlayer、OutlookExpress、InternetExplorer、NetMeeting、ComPlusApplications;Messenger、WINNT、DocumentsandSettings、SystemVolumeInformation、Recycled、WindowsNT、WindowsUpdate、Messenger、MicrosoftFrontpage、MovieMaker、WINDOWS。
病毒只感染後綴名為exe的pe執行檔，感染時病毒在被感染檔案的代碼節的最後的內容為0的地方（為檔案對齊補的）寫入病毒代碼，並將pe頭中入口點改為指向病毒代碼。
在感染的病毒代碼中，病毒調用CreateProcessA（該函式地址為感染時寫入的硬編碼）啟動“C:\WINDOWS\system32\drivers\mmaou.exe”（感染時寫入，檔案為感染時複製的病毒本身），然後通過記錄的原入口點跳回原程式正常入口點執行。
安全建議：
1安裝正版防毒軟體、個人防火牆和卡卡上網安全助手,並及時升級，瑞星防毒軟體每天至少升級三次。
2使用“瑞星系統安全漏洞掃描”，打好補丁，彌補系統漏洞。
3不瀏覽不良網站，不隨意下載安裝可疑外掛程式。
4不接收QQ、MSN、Emial等傳來的可疑檔案。
5上網時打開防毒軟體實時監控功能。
6把網銀、網遊、QQ等重要軟體加入到“瑞星帳號保險柜”中，可以有效保護密碼安全。
清除辦法：
瑞星防毒軟體清除辦法：
安裝瑞星防毒軟體，升級到20.23.32版以上，對電腦進行全盤掃描，按照軟體提示進行操作，即可徹底查殺。

相關詞條

參考資料：

[1]http://hi.baidu.com/zonga
[2]瑞星官方網站