2006-07-09

0Sy.exe

瑞星出品的專殺工具

點擊下載此文件



另外,最新版的瑞星也可以查殺了。

6月2日木馬警告trojan.wow.az危險等級最高!!!
通過蠕蟲病毒worm.viking.a傳播
現在新的是worm.viking.j,瑞星,毒霸都查不到
電腦上網就會中到!
中了該病毒後感染系統裡所有exe文件
然後自動從網絡上下載木馬trojan.wow.az
病毒會先下載一個程序:Downloader.Delf.ady,這個程序的進程名字0Sy.exe或1Sy.exe~4Sy.exe
通過這個程序再下載wow偷號馬trojan.wow.az
馬放在winnt\system32\ShellExt,名字是svchs0t.exe (windows2000為例)

中了該病毒後可能會出現以下異常進程:
Logo1_.exe
rundl1(數字1迷惑人的)32.exe
svchs0(數字0)t.exe
cmd.exe
等等



該木馬進入系統後自動關閉wow,你會發現wow突然就跳了,當你再次進遊戲輸入帳號密碼的時候
他就記錄帳號密碼並發送郵寄出去!

特徵:1.感染病毒,自動關閉瑞星等殺毒軟件、天網等防火牆 worm.viking.j不關閉他們但這些軟件對
這病毒都不起啥作用
2.自動結束wow遊戲
3.系統速度越來越慢
有以上症狀的速查系統
殺毒軟件:ewido www.skycn.com(天空軟件)可以找到
殺後所有exe文件都完了,ewido不修復被感染文件,就是直接幹掉,從裝吧:(

再次提醒:大多數殺毒軟件暫時無法查殺,worm.viking.a worm.viking.f等已經能查殺!

想必大家能明白為什麼查來查去沒毒但帳號還是被偷了吧!

ewido是非常著名的殺馬軟件 http://www.ewido.net/en/


最新消息,現在更新的毒霸6.2日病毒庫似乎可以查殺了,我正在殺,上午更新到6.1日的病毒庫還查不到!
毒霸殺到的病毒名字是worm.viking.m(ewido查出是worm.viking.j)
win32.Troj.PSW.Zh (ewido查出是trojan.wow.az)
Logo1_.exe毒霸查出是worm.beann

這會安心了,國內殺毒軟件更新還是比較快的,但和ewido比起來差太多了,ewido昨天傍晚就能查到了,毒霸今天上午都無法查到。

病毒別名: 處理時間:2006-06-01 威脅級別:★★
中文名稱: 病毒類型:蠕蟲 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為:
該病毒為Windows平台下集成可執行文件感染、網絡感染、下載網絡木馬或其它病毒的複合型病毒,病毒運行後將自身偽裝成系統正常文件,以迷惑用戶,通過修改註冊表項使病毒開機時可以自動運行,同時病毒通過線程注入技術繞過防火牆的監視,連接到病毒作者指定的網站下載特定的木馬或其它病毒,同時病毒運行後枚舉內網的所有可用共享,並嘗試通過弱口令方式連接感染目標計算機。
運行過程過感染用戶機器上的可執行文件,造成用戶機器運行速度變慢,破壞用戶機器的可執行文件,給用戶安全性構成危害。
病毒主要通過共享目錄、文件捆綁、運行被感染病毒的程序、可帶病毒的郵件附件等方式進行傳播。

1、病毒運行後將自身複製到Windows文件夾下,文件名為:
  %SystemRoot%\rundl132.exe

2、運行被感染的文件後,病毒將病毒體複製到為以下文件:
%SystemRoot%\logo_1.exe

3、同時病毒會在病毒文件夾下生成:
病毒目錄\vdll.dll

4、病毒從Z盤開始向前搜索所有可用分區中的exe文件,然後感染所有大小27kb-10mb的可執行文件,感染完畢在被感染的文件夾中生成:
_desktop.ini (文件屬性:系統、隱藏。)

5、病毒會嘗試修改%SysRoot%\system32\drivers\etc\hosts文件。

6、病毒通過添加如下註冊表項實現病毒開機自動運行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"

7、病毒運行時嘗試查找窗體名為:"RavMonClass"的程序,查找到窗體後發送消息關閉該程序。

8、枚舉以下殺毒軟件進程名,查找到後終止其進程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe

9、同時病毒嘗試利用以下命令終止相關殺病毒軟件:
net stop "Kingsoft AntiVirus Service"


10、發送ICMP探測數據"Hello,World",判斷網絡狀態,網絡可用時,
枚舉內網所有共享主機,並嘗試用弱口令連接\\IPC$、\admin$等共享目錄,連接成功後進行網絡感染。

11、感染用戶機器上的exe文件,但不感染以下文件夾中的文件:
system
system32
windows
Documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone

12、枚舉系統進程,嘗試將病毒dll(vdll.dll)選擇性注入以下進程名對應的進程:
Explorer
Iexplore
找到符合條件的進程後隨機注入以上兩個進程中的其中一個。

13、當外網可用時,被注入的dll文件嘗試連接以下網站下載並運行相關程序:
http://www.17**.com/gua/zt.txt 保存為:c:\1.txt
http://www.17**.com/gua/wow.txt 保存為:c:\1.txt
http://www.17**.com/gua/mx.txt 保存為:c:\1.txt

http://www.17**.com/gua/zt.exe 保存為:%SystemRoot%\0Sy.exe
http://www.17**.com/gua/wow.exe 保存為:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 保存為:%SystemRoot%\2Sy.exe
註:三個程序都為木馬程序

14、病毒會將下載後的"1.txt"的內容添加到以下相關註冊表項:


[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"



光這蠕蟲似乎還不可怕,現在問題是蠕蟲和偷wow帳號的木馬結合著,而且是後期自動下載木馬,問題大了!

http://www.shangpan.com/article.asp?id=438