受影响的软件及系统:
====================
Windows 95
Windows 98
Windows ME
Windows NT
Windows 2000
Windows XP
Windows Server 2003
综述:
======
一个通过邮件和网络共享传播的蠕虫“Blackworm”正在流行。该蠕虫会在每个月的第3天破坏磁盘上的数据文件,最近一次破坏将发生在2月3日,也就是农历正月初六。
分析:
======
“Blackworm”蠕虫(以下简称Blackworm)运行后,会释放出下列文件:
%SystemRoot%/Rundll16.exe
%SystemRoot%/System32/scanregw.exe
%SystemRoot%/System32/Winzip.exe
%SystemRoot%/System32/Update.exe
%SystemRoot%/System32/WINZIP_TMP.EXE
%SystemRoot%/System32/SAMPLE.ZIP
如果感染的系统是Windows 95、Windows 98、Windows ME,那么上面的路径“%SystemRoot%/System32”应改为“%SystemRoot%/System”。
另外,Blackworm还会将自身拷贝为一个随机的文件名或者下面这些:
movies.exe
New WinZip File.exe
Zipped Files.exe
为了让自身能随系统的启动而运行,Blackworm会在注册表的自启动项增加键值:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
ScanRegistry = "scanregw.exe /scan"
为了对抗反病毒软件,Blackworm还会在下列注册表自启动项中删除流行的反病毒软件所使用的键值:
[HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices]
这些键值包括:
APVXDWIN、avast!、AVG7_CC、AVG7_EMC、AVG7_Run、AVG_CC、Avgserv9.exe、BearShare、defwatch、DownloadAccelerator、kaspersky、KAVPersonal50、McAfeeVirusScanService、NAV、Agent、OfficeScanNT、Monitor、PCCClient.exe、pccguide.exe、PCCIOMON.exe、PccPfw、Pop3trap.exe、rtvscn95、ScanInicio、SSDPSRV、TM、Outbreak、Agent、tmproxy、Vet、Alert、VetTray、vptray
另外,Blackworm还会在程序文件夹中搜索这些反病毒软件的目录,并删除其中的EXE和DLL文件:
%ProgramFiles%/Alwil Software/Avast4
%ProgramFiles%/BearShare
%ProgramFiles%/DAP
%ProgramFiles%/Grisoft/AVG7
%ProgramFiles%/Kaspersky Lab/Kaspersky Anti-Virus Personal
%ProgramFiles%/McAfee.com/Agent
%ProgramFiles%/McAfee.com/shared
%ProgramFiles%/McAfee.com/VSO
%ProgramFiles%/Morpheus
%ProgramFiles%/NavNT
%ProgramFiles%/Norton AntiVirus
%ProgramFiles%/Symantec/Common Files/Symantec Shared
%ProgramFiles%/Symantec/LiveUpdate
%ProgramFiles%/Trend Micro/Internet Security
%ProgramFiles%/Trend Micro/OfficeScan
%ProgramFiles%/Trend Micro/OfficeScan Client
%ProgramFiles%/Trend Micro/PC-cillin 2002
%ProgramFiles%/Trend Micro/PC-cillin 2003
Blackworm还会查询下面这些注册表键值,获取程序的安装目录,然后删除其中的EXE和DLL文件:
[HKEY_LOCAL_MACHINE/Software/INTEL/LANDesk/VirusProtect6/CurrentVersion]
[HKEY_LOCAL_MACHINE/SOFTWARE/Symantec/InstalledApps]
[HKEY_LOCAL_MACHINE/SOFTWARE/KasperskyLab/Components/101]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Uninstall/Panda Antivirus 6.0 Platinum]
[HKEY_LOCAL_MACHINE/SOFTWARE/KasperskyLab/InstalledProducts/Kaspersky Anti-Virus Personal]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/App Paths/Iface.exe]
Blackworm会关闭所有标题包含下面这些字串的窗口:
SYMANTEC、SCAN、KASPERSKY、VIRUS、MCAFEE、TREND MICRO、NORTON、REMOVAL、FIX
Blackworm可以通过邮件和网络共享两种方式传播自身。
Blackworm会在系统中搜索包含“CONTENT.”和“TEMPORARY”的文件和下面这些扩展名的文件,从其中寻找邮件地址:
HTM、DBX、EML、MSG、OFT、NWS、VCF、MBX、IMH、TXT、MSF
然后向这些邮件地址发送自身。邮件主题可能是这些:
*Hot Movie*
A Great Video
Fw:
Fw: DSC-00465.jpg
Fw: Funny :)
Fw: Picturs
Fw: Real show
Fw: SeX.mpg
Fw: Sexy
Fwd: Crazy illegal Sex!
Fwd: image.jpg
Fwd: Photo
give me a kiss
Miss Lebanon 2006
My photos
Part 1 of 6 Video clipe
Photos
Re:
School girl fantasies gone bad
蠕虫本身将作为编码后的附件被发送。
Blackworm还会在网络中搜索共享文件夹和口令薄弱的系统,一旦找到有写权限的“ADMIN$”和“C$”共享,就会将自身以“WINZIP_TMP.EXE”的文件名复制过去。并通过Windows的“Task Scheduler”服务来远程运行拷贝过去的蠕虫。同时,Blackworm也会尝试通过访问网络共享来删除远程机器上的反病毒软件。
Blackworm会在每个月的第3天破坏磁盘上下列扩展名的文件:
DOC、XLS、MDE、MDB、PPT、PPS、RAR、PDF、PSD、DMP、ZIP
在其中写入垃圾数据:“DATA Error [47 0F 94 93 F4 K5]”。
解决方法:
==========
一些反病毒软件厂商提供了针对该蠕虫的专杀工具,可以使用这些专杀工具来清除蠕虫:
http://www.symantec.com/region/cn/techsupp/avcenter/venc/data/cn-w32.blackmal.b@mm.removal.tool.html
附加信息:
==========
http://isc.sans.org/blackworm
http://www.lurhq.com/blackworm.html
http://www.lurhq.com/blackworm-stats.html
http://www.symantec.com/avcenter/venc/data/w32.blackmal.e@mm.html
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_GREW.A
http://www.microsoft.com/security/encyclopedia/details.aspx?name=Win32%2fMywife.E%40mm
====================
Windows 95
Windows 98
Windows ME
Windows NT
Windows 2000
Windows XP
Windows Server 2003
综述:
======
一个通过邮件和网络共享传播的蠕虫“Blackworm”正在流行。该蠕虫会在每个月的第3天破坏磁盘上的数据文件,最近一次破坏将发生在2月3日,也就是农历正月初六。
分析:
======
“Blackworm”蠕虫(以下简称Blackworm)运行后,会释放出下列文件:
%SystemRoot%/Rundll16.exe
%SystemRoot%/System32/scanregw.exe
%SystemRoot%/System32/Winzip.exe
%SystemRoot%/System32/Update.exe
%SystemRoot%/System32/WINZIP_TMP.EXE
%SystemRoot%/System32/SAMPLE.ZIP
如果感染的系统是Windows 95、Windows 98、Windows ME,那么上面的路径“%SystemRoot%/System32”应改为“%SystemRoot%/System”。
另外,Blackworm还会将自身拷贝为一个随机的文件名或者下面这些:
movies.exe
New WinZip File.exe
Zipped Files.exe
为了让自身能随系统的启动而运行,Blackworm会在注册表的自启动项增加键值:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
ScanRegistry = "scanregw.exe /scan"
为了对抗反病毒软件,Blackworm还会在下列注册表自启动项中删除流行的反病毒软件所使用的键值:
[HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices]
这些键值包括:
APVXDWIN、avast!、AVG7_CC、AVG7_EMC、AVG7_Run、AVG_CC、Avgserv9.exe、BearShare、defwatch、DownloadAccelerator、kaspersky、KAVPersonal50、McAfeeVirusScanService、NAV、Agent、OfficeScanNT、Monitor、PCCClient.exe、pccguide.exe、PCCIOMON.exe、PccPfw、Pop3trap.exe、rtvscn95、ScanInicio、SSDPSRV、TM、Outbreak、Agent、tmproxy、Vet、Alert、VetTray、vptray
另外,Blackworm还会在程序文件夹中搜索这些反病毒软件的目录,并删除其中的EXE和DLL文件:
%ProgramFiles%/Alwil Software/Avast4
%ProgramFiles%/BearShare
%ProgramFiles%/DAP
%ProgramFiles%/Grisoft/AVG7
%ProgramFiles%/Kaspersky Lab/Kaspersky Anti-Virus Personal
%ProgramFiles%/McAfee.com/Agent
%ProgramFiles%/McAfee.com/shared
%ProgramFiles%/McAfee.com/VSO
%ProgramFiles%/Morpheus
%ProgramFiles%/NavNT
%ProgramFiles%/Norton AntiVirus
%ProgramFiles%/Symantec/Common Files/Symantec Shared
%ProgramFiles%/Symantec/LiveUpdate
%ProgramFiles%/Trend Micro/Internet Security
%ProgramFiles%/Trend Micro/OfficeScan
%ProgramFiles%/Trend Micro/OfficeScan Client
%ProgramFiles%/Trend Micro/PC-cillin 2002
%ProgramFiles%/Trend Micro/PC-cillin 2003
Blackworm还会查询下面这些注册表键值,获取程序的安装目录,然后删除其中的EXE和DLL文件:
[HKEY_LOCAL_MACHINE/Software/INTEL/LANDesk/VirusProtect6/CurrentVersion]
[HKEY_LOCAL_MACHINE/SOFTWARE/Symantec/InstalledApps]
[HKEY_LOCAL_MACHINE/SOFTWARE/KasperskyLab/Components/101]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Uninstall/Panda Antivirus 6.0 Platinum]
[HKEY_LOCAL_MACHINE/SOFTWARE/KasperskyLab/InstalledProducts/Kaspersky Anti-Virus Personal]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/App Paths/Iface.exe]
Blackworm会关闭所有标题包含下面这些字串的窗口:
SYMANTEC、SCAN、KASPERSKY、VIRUS、MCAFEE、TREND MICRO、NORTON、REMOVAL、FIX
Blackworm可以通过邮件和网络共享两种方式传播自身。
Blackworm会在系统中搜索包含“CONTENT.”和“TEMPORARY”的文件和下面这些扩展名的文件,从其中寻找邮件地址:
HTM、DBX、EML、MSG、OFT、NWS、VCF、MBX、IMH、TXT、MSF
然后向这些邮件地址发送自身。邮件主题可能是这些:
*Hot Movie*
A Great Video
Fw:
Fw: DSC-00465.jpg
Fw: Funny :)
Fw: Picturs
Fw: Real show
Fw: SeX.mpg
Fw: Sexy
Fwd: Crazy illegal Sex!
Fwd: image.jpg
Fwd: Photo
give me a kiss
Miss Lebanon 2006
My photos
Part 1 of 6 Video clipe
Photos
Re:
School girl fantasies gone bad
蠕虫本身将作为编码后的附件被发送。
Blackworm还会在网络中搜索共享文件夹和口令薄弱的系统,一旦找到有写权限的“ADMIN$”和“C$”共享,就会将自身以“WINZIP_TMP.EXE”的文件名复制过去。并通过Windows的“Task Scheduler”服务来远程运行拷贝过去的蠕虫。同时,Blackworm也会尝试通过访问网络共享来删除远程机器上的反病毒软件。
Blackworm会在每个月的第3天破坏磁盘上下列扩展名的文件:
DOC、XLS、MDE、MDB、PPT、PPS、RAR、PDF、PSD、DMP、ZIP
在其中写入垃圾数据:“DATA Error [47 0F 94 93 F4 K5]”。
解决方法:
==========
一些反病毒软件厂商提供了针对该蠕虫的专杀工具,可以使用这些专杀工具来清除蠕虫:
http://www.symantec.com/region/cn/techsupp/avcenter/venc/data/cn-w32.blackmal.b@mm.removal.tool.html
附加信息:
==========
http://isc.sans.org/blackworm
http://www.lurhq.com/blackworm.html
http://www.lurhq.com/blackworm-stats.html
http://www.symantec.com/avcenter/venc/data/w32.blackmal.e@mm.html
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_GREW.A
http://www.microsoft.com/security/encyclopedia/details.aspx?name=Win32%2fMywife.E%40mm
5926
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
