东方微点-ag旗舰厅首页

  ag旗舰厅首页  
ag旗舰厅首页-ag亚洲国际厅  |  微点新闻  |  业界动态  |  安全资讯  |   |   |  网络版ag旗舰厅首页
 |   |   |   |   |   |  各地代理商
 

蠕虫程序worm.win32.agent.jii
来源:  2009-01-08 17:03:34



捕获时间

2009-1-8

病毒摘要

该样本是使用“vc ”编写的蠕虫程序,由微点主动防御软件自动捕获,未加壳,样本长度为“431,104 字节”,图标为“”,病毒扩展名为“exe”,对于设置了不显示隐藏文件且隐藏已知扩展名的用户,有极大的欺骗性,主要通过“诱骗用户点击”、“文件捆绑”、“可移动磁盘传播”等方式传播,病毒主要目的为劫持用户搜索引擎,获取推广利益。

感染对象

windows 2000/windows xp/windows 2003

传播途径

网页木马、文件捆绑、移动存储介质

防范措施

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);


       图1 微点主动防御软件自动捕获未知病毒(未升级)



如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"worm.win32.agent.jii”,请直接选择删除(如图2)。


       图2 微点主动防御软件升级后截获已知病毒

对于未使用微点主动防御软件的用户,微点反病毒专家建议
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、建议关闭u盘自动播放,具体操作步骤:开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取ag旗舰厅首页的技术支持。
4、开启windows自动更新,及时打好漏洞补丁。

病毒分析

  该样本程序被执行后,查找系统文件夹“%systemroot%\system32”内是否存在文件“winweb.exe”,不存在则复制自身至系统文件夹“%systemroot%\system32”重命名为“winweb.dat”,完成后将“winweb.dat”,复制为“winweb.exe”并释放动态库文件“webad.dll”、“iconhandle.dll”。
  修改注册表,将动态库文件“webad.dll”注册为bho,相关注册表项如下:

  
  键:“hkey_classes_root\ad.h.1\clsid”
  值:“@”
  数据:“{73ef2588-e4d1-4623-9b45-e0bbd6b65e9c}”
  键:“hkey_classes_root\ad.h\clsid”
  值:“@”
  数据:“{73ef2588-e4d1-4623-9b45-e0bbd6b65e9c}”
  键:“hkey_classes_root\ad.h\curver”
  值:“@”
  数据:“ad.h.1”
  键:“hkey_classes_root\clsid\{73ef2588-e4d1-4623-9b45-e0bbd6b65e9c}”
  值:“@”
  数据:“h class”
  键:“hkey_classes_root\clsid\{73ef2588-e4d1-4623-9b45-e0bbd6b65e9c}\inprocserver32”
  值:“@”
  数据:“c:\windows\system32\webad.dll”
  键:“hkey_classes_root\clsid\{73ef2588-e4d1-4623-9b45-e0bbd6b65e9c}\progid”
  值:“@”
  数据:“ad.h.1”
  键:“hkey_classes_root\clsid\{73ef2588-e4d1-4623-9b45-e0bbd6b65e9c}\typelib”
  值:“@”
  数据:“{5a0063a5-f6e9-4947-9d1c-9300ce1bb342}”
  键:“hkey_classes_root\clsid\{73ef2588-e4d1-4623-9b45-e0bbd6b65e9c}\versionindependentprogid”
  值:“@”
  数据:“ad.h”
  键:“hkey_local_machine\software\microsoft\windows\currentversion\explorer\browser helper objects\{73ef2588-e4d1-4623-9b45-e0bbd6b65e9c}”
  键:“hkey_classes_root\typelib\{5a0063a5-f6e9-4947-9d1c-9300ce1bb342}\1.0”
  值:“@”
  数据:“ad 1.0 类型库”
  键:“hkey_classes_root\typelib\{5a0063a5-f6e9-4947-9d1c-9300ce1bb342}\1.0\0\win32”
  值:“@”
  数据:“c:\windows\system32\webad.dll”
  键:“hkey_classes_root\typelib\{5a0063a5-f6e9-4947-9d1c-9300ce1bb342}\1.0\helpdir”
  值:“@”
  数据:“c:\windows\system32”


  修改注册表,将系统txt文件的图标指向“iconhandle.dll”,更换为“”,相关注册表项如下:

  
  键:“hkey_classes_root\appid\{dd0ad1d0-6c36-4894-b38e-9e5d3392114d”
  值:“@”
  数据:“iconhandle”
  键:“hkey_classes_root\appid\iconhandle.dll”
  值:“appid”
  数据:“{dd0ad1d0-6c36-4894-b38e-9e5d3392114d}”
  键:“hkey_classes_root\iconhandle.seticon.1\clsid”
  值:“@”
  数据:“{aefa7e78-cf7e-4550-829f-2c786a0070bf}”
  键:“hkey_classes_root\iconhandle.seticon\clsid”
  值:“@”
  数据:“{aefa7e78-cf7e-4550-829f-2c786a0070bf}”
  键:“hkey_classes_root\iconhandle.seticon\curver”
  值:“@”
  数据:“iconhandle.seticon.1”
  键:“hkey_classes_root\clsid\{aefa7e78-cf7e-4550-829f-2c786a0070bf}\inprocserver32”
  值:“@”
  数据:“c:\windows\system32\iconhandle.dll”
  键:“hkey_classes_root\clsid\{aefa7e78-cf7e-4550-829f-2c786a0070bf}\progid”
  值:“@”
  数据:“iconhandle.seticon.1”
  键:“hkey_classes_root\clsid\{aefa7e78-cf7e-4550-829f-2c786a0070bf}\typelib”
  值:“@”
  数据:“{581f1707-4ad0-4b7b-ad6e-057db8f686f3}”
  键:“hkey_classes_root\clsid\{aefa7e78-cf7e-4550-829f-2c786a0070bf}\versionindependentprogid”
  值:“@”
  数据:“iconhandle.seticon”
  键:“hkey_classes_root\txtfile\shellex\iconhandler”
  值:“@”
  数据:“{aefa7e78-cf7e-4550-829f-2c786a0070bf}”
  键:“hkey_classes_root\typelib\{581f1707-4ad0-4b7b-ad6e-057db8f686f3}\1.0”
  值:“@”
  数据:“iconhandle 1.0 类型库”
  键:“hkey_classes_root\typelib\{581f1707-4ad0-4b7b-ad6e-057db8f686f3}\1.0\0\win32”
  值:“@”
  数据:“c:\windows\system32\iconhandle.dll”
  键:“hkey_classes_root\typelib\{581f1707-4ad0-4b7b-ad6e-057db8f686f3}\1.0\helpdir”
  值:“@”
  数据:“c:\windows\system32”


  “webad.dll”注册为bho后,将对用户搜索进行劫持,当网址包含“http://www.baidu.com/s”以及“http://www.google.cn/search”时,将用户搜索引擎统一修改为“http://www.google.cn”,读取用户搜索关键字后使用,并加入“client=pub-9647544675692062”的客户端标示进行搜索,为病毒制造者带来搜索引擎推广利益。

  若系统文件夹内“%systemroot%\system32”存在文件“winweb.exe”,或用户被图标欺骗,并尝试再次执行样本,样本将启动“winweb.exe”, “winweb.exe”启动后检测自身位置,若为“%systemroot%\system32”目录下,则驻留系统内存,不断遍历可移动磁盘,发现后将可移动磁盘内全部文件夹设置为“系统、隐藏、只读”,并将自身复制至可移动磁盘,数目与原文件夹数目相同,名称与原文件夹同名,达到通过可移动磁盘传播自身的目的。

免费体验
下  载

网站地图