如何清除此病毒Worm.Allaple.b?
发布网友
发布时间:2022-04-12 18:57
共3个回答
热心网友
时间:2022-04-12 20:26
病毒名称(中文):病毒别名:威胁级别:★★☆☆☆病毒类型:蠕虫病毒病毒长度:67072影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是一个蠕虫病毒,它能通过多种漏洞传播自己,并通过弱口令传播自己,此病毒还使用了变形技术。
1:拷贝本体
病毒运行后,会把自己拷贝到系统目录中
%system%\\urdvxc.exe
并使用随机的文件名把自己拷贝到随机目录里面,文件名也是随机生成的,导致目录中可能存在
为数不少的病毒体,在拷贝前病毒会使用变形引擎对病毒文件进行变形,使每个病毒体特征码都不一样。
2:添加启动项
病毒会在系统中添加一个名为MSWindows的服务,路径为%system%\\urdvxc.exe /service
使病毒体能随系统启动。
3:弱口令
病毒会使用弱口令攻击随机IP地址的计算机,口令表如下
windows
visitor
test2
password
test1
test
temp
telnet
ruler
remote
real
random
qwerty
public
private
poiuytre
passwd
pass
oracle
nopass
nobody
nick
newpass
monitor
money
manager
login
internet
install
hello
guest
demo
default
debug
database
crew
computer
coffee
beta
backup
backdoor
anonymous
anon
alpha
access
abc123
system
super
shit
shadow
setup
security
secure
secret
123456789
1245678
1234567
123456
12345
1234
000000000
00000000
0000000
00000
0000
server
asdfgh
root
一但发现远程计算机登录成功,就会把自己拷贝到远程计算机上,并添加计划任务在无程计算机上运行病毒。
4:利用漏洞
病毒会利用MS04-011与MS06-040漏洞攻击其它的计算机,尝试传播自己。
5:尝试打开网页
病毒会尝试打开以下3个网址
www.*******.ee
www.**.ee
www.online.**.ee
热心网友
时间:2022-04-12 21:44
病毒名称:Net-Worm.Win32.Allaple.b(Kaspersky)
病毒别名:Win32.Troj.Henkan.a.57856(毒霸)
Worm.Mail.Allaple.b(瑞星)
病毒大小:57,856 字节
加壳方式:N/A
样本MD5:N/A(变形病毒)
样本SHA1:N/A(变形病毒)
发现时间:2006.12
更新时间:2006.12
关联病毒:
传播方式:可通过弱密码的共享网络,系统漏洞等途径传播
技术分析
==========
这是一个自变形蠕虫病毒,在被感染系统中生成若干病毒副本,可通过系统弱口令系统漏洞等途径传播,发送DoS攻击。
蠕虫感染系统后在系统目录生成文件:
%System%\urdvxc.exe
创建以下服务:
QUOTE:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSWindows]
显示名:Network Windows Service
描述:Network Windows service management
可执行文件的路径:"%System%\urdvxc.exe" /service
失败时执行命令:%System%\urdvxc.exe
此服务第一次启动失败时会尝试重新启动服务,第二次启动失败时则运行%System%\urdvxc.exe。
病毒会向系统部分目录(含有htm/html文件的目录)生成自身的若干新副本,文件名随机,如:
bzehxvnz.exe
hwexrtne.exe
jbnshhqj.exe
由于病毒自我变形,虽然文件大小都是57856字节,但每个副本都不一样。
病毒给每一个副本都注册不同的CLSID,如:
[HKEY_CLASSES_ROOT\CLSID\{8BF6F24D-2C3C-D83A-E9AE-EC1C4F01DAEE}\InprocServer32]
@="bzehxvnz.exe"
修改目录中的htm/html文件,在<html>标签后插入类似如下代码:
<OBJECT type="application/x-oleobject"CLASSID="CLSID:8BF6F24D-2C3C-D83A-E9AE-EC1C4F01DAEE"></OBJECT>
每个htm/html页面中的CLSID不同,分别对应病毒副本的CLSID,即当用户打开该htm/html文件时,对应CLSID的病毒副本将被运行。
此外,病毒会尝试通过系统漏洞和系统弱口令传播给其它计算机,还能发起DoS攻击。
清除步骤
==========
1. 删除病毒服务:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSWindows]
2. 重新启动计算机
3. 删除文件:
%System%\urdvxc.exe
4. 全盘搜索大小约58K左右的文件名随机的exe文件,删除它们
5. 注册表中病毒添加的CLSID和htm/html页面中被添加的代码清除起来有些困难,经过测试发现Kaspersky(卡巴斯基)可以清除htm/html页面中病毒插入的<object>代码
热心网友
时间:2022-04-12 23:19
