|
病毒特性:
Win32/Anyhomb.B是一种特洛伊病毒,利用多重成分下载并运行一个任意文件。
感染方式:
运行期间,Anyhomb.B在被感染机器上生成两个主要文件。
特洛伊的原始文件生成"UpdService.exe"文件到C:\Program Files\Common Files\Microsoft Shared\MSWNInfo\UpdService.exe。没有正在运行的生成文件,特洛伊的原始文件就会生成一个注册表键值,以确保在下次系统启动时运行"UpdService.exe":
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\UpdService = "C:\Program Files\Common Files\Microsoft Shared\MSWNInfo\UpdService.exe"
病毒查找C:\Program Files\Common Files\Microsoft Shared\MSWNInfo\UpdService.exe,如果正在运行就会停止它。
文件"UpdService.exe" 会生成 "ServiceDLLRun.exe"文件到C:\Program Files\Common Files\Microsoft Shared\MSWNInfo\ServiceDLLRun.exe,随后从这个位置运行它。
运行时,Anyhomb.B的副本还会查找一个文件的存在:C:\Program Files\Common Files\Microsoft Shared\MSWNInfo\mscw32.exe。如果这个文件存在,特洛伊就会停止运行。
危害:
生成文件并显示对话框
特洛伊生成一个文件夹C:\Program Files\Common Files\Microsoft Shared\MSWNInfo。随后生成一个文件并运行它:C:\Program Files\Common Files\Microsoft Shared\MSWNInfo\mscw32.exe。
这个文件显示一个带图像的对话框,有两个按钮"Crack" 和 "Exit",还有一句话"Press the Crack button and Enjoy !"。如果用户点击"Crack",那句话就会消失。如果用户点击"Exit",窗口就会关闭。
一旦"mscw32.exe"文件运行,原始文件就会以0覆盖它,并删除它。
原始文件还生成"UpdService.exe",这个文件的主要目的是生成"ServiceDLLRun.exe"。
修改注册表键值
在生成UpdService键值之前,特洛伊原始文件删除以下注册表键值的所有值:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
首先保存每个注册表的名称,每行一个,保存到:
C:\Program Files\Common Files\Microsoft Shared\MSWNInfo\1.dat
同时保存每个注册表的内容,每行一个,保存到:
C:\Program Files\Common Files\Microsoft Shared\MSWNInfo\2.dat
在"UpdService.exe"运行之前,系统必须重启。一旦运行,"UpdService.exe"还会生成以下注册表键值:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoChangeStartMenu = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoLogOff = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun = 1
这些键值尝试停止对特洛伊的中断,通过阻止用户访问Windows任务管理器和从开始菜单的“运行”执行命令。它们还会阻止用户退出或关闭系统。
"UpdService.exe"还会删除以下注册表,为了不在系统启动时不在运行:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\UpdService
一旦生成的文件完成运行,"UpdService.exe"就会生成以下键值,它会设置与之前相反的设置:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr = 0
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoChangeStartMenu = 0
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose = 0
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoLogOff = 0
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun = 0
如果以下文件存在:
C:\Program Files\Common Files\Microsoft Shared\MSWNInfo\1.dat
C:\Program Files\Common Files\Microsoft Shared\MSWNInfo\2.dat
那么"UpdService.exe"就会利用它们恢复之前删除的以下键值:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
然后,"UpdService.exe"就会以0覆盖文件,随后删除它们。完成后,它还会覆盖并删除"ServiceDLLRun.exe" 文件。
停止服务
特洛伊尝试终止Application Layer Gateway (ALG)服务,一个成分用于Windows Firewall 和 Internet Connection Sharing。如果终止ALG成功,Windows Firewall 和 Internet Connection Sharing的功能可能不在正常。
下载并运行任意文件
"ServiceDLLRun.exe" 从wensmi.farvista.net域下载一个文件,根据这个文件的内容,从以下两组网站选择一个进行下载。以下是两组列表:
1组:
http://johny.kavanas.szm.sk
http://johkav.freecoolsite.com
http://mujweb.cz/www/Kavanas
http://kavanas169.host.sk
http://mujweb.cz/www/alkotasfiu
2组:
http://perault.host.sk
http://perault.szm.sk
http://mujweb.cz/www/perault
http://geoper6.freecoolsite.com
http://mujweb.cz/www/hoooteeerr
目标站点从以上2组中任意选择,并下载两个文件,一个带有.gif扩展名。同一个组中的所有服务器下载相同的.gif文件,但是每个组的.gif文件不同。文件显示一个小箭头图片,还包含URL编码。特洛伊尝试解压、解码URL,随后任意选择一个访问。
2组的URL编码显示拒绝连接。1组所有的URL编码属于coolinc.info域,并请求一个扩展名为的.jpg文件。这个文件显示为一个表情标语广告,但是还包含一个编码运行,特洛伊尝试解压并保存到一个文件。Anyhomb.B保存这个文件到C:\Program Files\Common Files\Microsoft Shared\MSWNInfo\mscw16.exe,随后启动它。一旦"mscw16.exe"文件停止运行,"ServiceDLLRun.exe"就以0覆盖它并删除它。
"mscw16.exe"文件与被Win32/Anyhomb.D病毒生成的"sviem.exe"文件相同。
其它信息
Anyhomb.B 尝试从http://update.macromedia.com/Flash_8.04下载一个文件。
| 
爻尔 
