V2012.EXE释放,Worm/Win32.palevo.cuxf[p2p]分析(转)

出处:安天实验室 时间:2011年11月17日

病毒标签

病毒名称: Worm/Win32.palevo.cuxf[p2p]
病毒类型: 后门
文件 MD5: 275C5F9BC71FA2DB956ECA4129659A87
公开范围: 完全公开
危害等级: 3
文件长度: 208,896字节
感染系统: Windows 2000以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: 无

—————————————————————-

病毒描述

该恶意代码文件为后门程序。病毒运行后会连接指定IP地址,接收控制者发送的命令。病毒会添加注册表启动项,尝试结束卡巴、江民、瑞星、360等安全软件。病毒同时具有键盘记录功能,能够记录用户信息,并将信息后上传到远程控制端。

———————————————————————————————————————————-

行为分析-本地行为

1. 病毒运行后会释放以下文件
%Documents and Settings%\All Users\「开始」菜单\程序\启动\SVCHOST.SCR
%System32%\2011111401347
%System32%\2011111401347.key
%Temp%\2011.exe
%Windir%\V2011.exe
%Windir%\V2012.exe
%Windir%\V2012.exe
2. 病毒运行后,添加注册表启动项
键:
HKEY_USERS\S-1-5-21-1801674531-606747145-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run\
项:V2011
值:”C:\WINDOWS\V2011.exe”
3. 病毒运行后,创建互斥量避免重复运行。
MutexName = “AAAAAA7u6ytbKzvbCwsbG9/PEEqa6mprKfCCCCCC2vYA8fzw/AXzv+MC9fYAAvC/2v79/gQC8Z8=
|K38xgSlaK39ZUE9hUDErbVZ3LicxQWRRVFM1PCdrT2FWdy4nZGo1PD5Anw==”
4. 病毒创建在%System32%目录下创建2011111401347.key文件,将用户键盘输入加密后记录在此文件中。加密方式:XOR 0X62。

————————————————————–

行为分析-网络行为

协议:TCP/HTTP
端口:1995
IP地址:222.213.125.**(随作者更新)
URL:http://qq5654.****.org:1995
描述:病毒通过访问http://qq5654.****.org:1995解析远程控制端IP地址,再向远程控制端发送请求连接,建立连接后接受远程计算机控制。

注:
%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir%             WINDODWS所在目录
%DriveLetter%          逻辑驱动器根目录
%ProgramFiles%          系统程序默认安装目录
%HomeDrive%           当前启动的系统的所在分区
%Documents and Settings%    当前用户文档根目录
%Temp%             \Documents and Settings\当前用户\Local Setti ngs\Temp
%System32%           系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
Wndows95/98/me中默认的安装路径是C:\Windows\System
WindowsXP中默认的安装路径是C:\Windows\System32

———————————————————————————–

清除方案

1、使用安天防线可彻底清除此病毒(推荐),请点击下载(http://www.antiyfx.com)
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
推荐使用ATool管理工具,请点击下载(http://www.antiyfx.com/download/atool.zip)

1) 使用ATOOL管理工具,“进程管理”结束病毒的进程。 
2) 强行删除以下文件
%Documents and Settings%\All Users\「开始」菜单\程序\启动\SVCHOST.SCR
%System32%\2011111401347
%System32%\2011111401347.key
%Temp%\2011.exe
%Windir%\V2011.exe
%Windir%\V2012.exe
%Windir%\V2012.exe
3) 删除以下注册表键值
HKEY_USERS\S-1-5-21-1801674531-606747145-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run\。

未注明即为原创文章,转载请注明: 转载自Sword BlogV2012.EXE释放,Worm/Win32.palevo.cuxf[p2p]分析(转)

发表评论

电子邮件地址不会被公开。 必填项已用*标注

注意: 评论者允许使用'@user空格'的方式将自己的评论通知另外评论者。例如, ABC是本文的评论者之一,则使用'@ABC '(不包括单引号)将会自动将您的评论发送给ABC。使用'@all ',将会将评论发送给之前所有其它评论者。请务必注意user必须和评论者名相匹配(大小写一致)。