邮件蠕虫
email-worm.win32.bagle.adk
捕获时间
2012-07-11
危害等级
中
病毒症状
该样本是使用“c/c ”编写的“邮件蠕虫”,由微点主动防御软件自动捕获,采用“upx”加壳方式,企图躲避特征码扫描,加壳后长度为长度为“19,711” 字节,图标为“”,病毒扩展名为“.exe”,病毒主要通过“邮件”、“下载器下载”,“网页挂马”等方式传播。
用户中毒后,会出现系统运行缓慢、自动发送病毒邮件,存在大量未知可疑进程、网络堵塞等现象。
感染对象
windows 2000/windows xp/windows 2003/windows vista/ windows 7
传播途径
文件捆绑、网页挂马、下载器下载
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。
如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1)
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现木马"email-worm.win32.bagle.adk”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
未安装微点主动防御软件的手动解决办法:
1.结束"windspl.exe"、"regisp32.exe"等病毒进程
2.删除文件:
"%systemroot%\system32\windspl.exe"
"%systemroot%\system32\windspl.exeopen"
"%systemroot%\system32\windspl.exeopenopen"
"%systemroot%\regisp32.exe"
"%temp%\wintuidsl.tmp(文件名随机)"
"*shar*"目录下"acdsee 9.exe"、"adobe photoshop 9 full.exe"、"ahead nero 7.exe"、"kaspersky antivirus 5.0"、"kav 5.0"、"matrix 3 revolution english subtitles.exe"、"microsoft office 2003 crack, working!.exe"、"microsoft office xp working crack,
keygen.exe"、"microsoft windows xp, winxp crack, working keygen.exe"、"opera 8 new!.exe""porno pics arhive, xxx.exe"、
"porno screensaver.scr"、"porno, sex, oral, anal cool, awesome!!.exe"、"serials.txt.exe"、"winamp 5 pro keygen crack
update.exe"、"winamp 6 new!.exe"、"windown longhorn beta leak.exe"、"windows sourcecode update.doc.exe"、"xxx hardcore
images.exe"
3.删除键值项:
"hkey_current_user\software\microsoft\windows\currentversion\run\dsplobjects"
"hkey_local_machine\system\currentcontrolset\services\sharedaccess\parameters\ firewallpolicy\standardprofile\authorizedapplications\list\c:\windows\regisp32.exe"
4.恢复键值项:
"hkey_current_user\software\microsoft\windows\currentversion\run"、"hkey_ local_machine\software\microsoft\windows\currentversion\run"下键值项:
"my av"、"zone labs client ex"、"9xhtprotect"、"antivirus"、"special firewall service"、"service"、"tiny av"、"icqnet"、 "htprotect"、"netdy"、"jammer2nd"、"firewallsvr"、"msinfo"、"sysmonxp"、"easyav"、 "pandaavengine"、"norton antivirus av"、"kasperskyaveng"、"skynetsrevenge"、"icq net"。
变量声明:
%systemdriver% 系统所在分区,通常为“c:\”
%systemroot% windodws所在目录,通常为“c:\windows”
%documents and settings% 用户文档目录,通常为“c:\documents and settings”
%temp% 临时文件夹,通常为“c:\documents and settings\当前用户名称\local settings\temp”
%programfiles% 系统程序默认安装目录,通常为:“c:\programfiles”
病毒分析:
1.创建名字为"muxxxxtenyksdesignedasthefollowerofskynet-d"、"[skynet.cz]systemsmutex"、"admskynetjkls003"等多个互斥对象。
2.删除注册表键
"hkey_current_user\software\microsoft\windows\currentversion\run"、"hkey_ local_machine\software\microsoft\windows\currentversion\run"下键值项:
"my av"、"zone labs client ex"、"9xhtprotect"、"antivirus"、"special firewall service"、"service"、"tiny av"、"icqnet"、 "htprotect"、"netdy"、"jammer2nd"、"firewallsvr"、"msinfo"、"sysmonxp"、"easyav"、 "pandaavengine"、"norton antivirus av"、"kasperskyaveng"、"skynetsrevenge"、"icq net"。
3.提升前进程权限为"sedebugprivilege(调试特权级)"。
4.设置键值项"hkey_current_user\software\microsoft\windows\currentversion\run\dsplobjects" = "c:\windows\system32\windspl.exe",实现病毒开机自启动。
5.获取系统目录,判断当前模块是否为"c:\windows\system32\windspl.exe",不是则将病毒文件拷贝重命名为"c:\windows\system32\windspl.exe",并执行该文件。
6.病毒文件"c:\windows\system32\windspl.exe"运行之后:
(1)创建新线程,访问网址"http://i**.t35.com/"。
(2)获取系统目录,创建文件"c:\windows\regisp32.exe",写入病毒数据并执行。
(3)将文件"c:\windows\system32\windspl.exe"拷贝重命名为"c:\windows\system32\windspl.exeopen",将"c:\windows\system32\windspl.exeopen"拷贝重命名为"c:\windows\system32\windspl.exeopenopen"。
(4)开辟新线程,创建套接字,监听网络连接请求。
(5)遍历所有非可移动磁盘,查找名字带有"shar"字样的目录,并将自身拷贝到该目录下重命名为:
"acdsee 9.exe"、"adobe photoshop 9 full.exe"、"ahead nero 7.exe"、"kaspersky antivirus 5.0"、"kav 5.0"、"matrix 3
revolution english subtitles.exe"、"microsoft office 2003 crack, working!.exe"、"microsoft office xp working crack,
keygen.exe"、"microsoft windows xp, winxp crack, working keygen.exe"、"opera 8 new!.exe""porno pics arhive, xxx.exe"、
"porno screensaver.scr"、"porno, sex, oral, anal cool, awesome!!.exe"、"serials.txt.exe"、"winamp 5 pro keygen crack
update.exe"、"winamp 6 new!.exe"、"windown longhorn beta leak.exe"、"windows sourcecode update.doc.exe"、"xxx hardcore
images.exe"等病毒文件。
(6)读取后缀为".wab"".txt"".msg"".htm"".shtm"".stm"".xml"".dbx"".mbx"".mdx"".eml"".nch"".mmf"".ods"".cfg" ".asp"".php" ".pl"".wsh"".adb"".tbb"".sht"".xls"".oft"".uin"".cgi"".mht"".dhtm"".jsp"文件中的邮箱地址信息,并判断是否为"@hotmail"、"@msn"、"@microsoft"、"rating@"、"f-secur"、"news"、"update"、"anyone@"、"bugs@"、"contract@"、"feste"、"gold-certs@"、"help@"、"info@"、"nobody@"、"noone@"、"kasp"、"admin"、"icrosoft"、 "support"、"ntivi"、"unix"、"bsd"、"linux"、"listserv"、"certific"、"sopho"、"@foo"、"@iana"、 "free-av"、"@messagelab"、"winzip"、"google"、"winrar"、"samples"、"abuse"、"panda"、 "cafee"、"spam"、"pgp"、"@avp."、"noreply"、"local"、"root@"、"postmaster@"如果不是则发送病毒邮件到搜索到的邮箱地址。
(7)循环设置注册表键值项"hkey_current_user\software\microsoft\windows\currentversion\run\dsplobjects" = "c:\windows\system32\windspl.exe",实现病毒开机自启动。
7."c:\windows\regisp32.exe"运行之后:
(1)创建互斥对象"bagla_super_downloader_1000",防止重复执行。
(2)添加病毒到防火墙访问允许列表"hkey_local_machine\system\currentcontrolset\services\sharedaccess\parameters\ firewallpolicy\standardprofile\authorizedapplications\list\c:\windows\regisp32.exe"= "c:\windows\regisp32.exe:*:enabled:ipsec"。
(3)创建新线程,读取网络数据:
"http://do**.zoo.by/"
"http://de**t.zoo.com/"
"http://mypho***ool.t235.com/"
"http://ijj.***5.com/"
"http://209.*6.**.230/. /pr"
"http://noshit.fa***ack.com/"
分别写入到文件"c:\docume~1\admini~1\locals~1\temp\wintuidsl.tmp(文件名随机)",之后创建新进程执行该些文件。
病毒创建文件:
"%systemroot%\system32\windspl.exe"
"%systemroot%\system32\windspl.exeopen"
"%systemroot%\system32\windspl.exeopenopen"
"%systemroot%\regisp32.exe"
多个"%temp%\wintuidsl.tmp(文件名随机)"
"*shar*"目录下"acdsee 9.exe"、"adobe photoshop 9 full.exe"、"ahead nero 7.exe"、"kaspersky antivirus 5.0"、"kav 5.0"、"matrix 3 revolution english subtitles.exe"、"microsoft office 2003 crack, working!.exe"、"microsoft office xp working crack,
keygen.exe"、"microsoft windows xp, winxp crack, working keygen.exe"、"opera 8 new!.exe""porno pics arhive, xxx.exe"、
"porno screensaver.scr"、"porno, sex, oral, anal cool, awesome!!.exe"、"serials.txt.exe"、"winamp 5 pro keygen crack
update.exe"、"winamp 6 new!.exe"、"windown longhorn beta leak.exe"、"windows sourcecode update.doc.exe"、"xxx hardcore
images.exe"
病毒创建注册表:
"hkey_current_user\software\microsoft\windows\currentversion\run\dsplobjects"
"hkey_local_machine\system\currentcontrolset\services\sharedaccess\parameters\ firewallpolicy\standardprofile\authorizedapplications\list\c:\windows\regisp32.exe"
病毒访问网络:
"http://do**.zoo.by/"
"http://de**t.zoo.com/"
"http://mypho***ool.t235.com/"
"http://ijj.***5.com/"
"http://209.*6.**.230/. /pr"
"http://noshit.fa***ack.com/"
"http://i**.t35.com/"
