蠕蟲病毒Win32.Womble.B

Win32/Womble.B是一種傳送大量郵件的蠕蟲,可能是一個可運行程式,也可能是一個Windows Media檔案,攻擊MS06-001漏洞。病毒還可能通過網路共享進行複製,並周期性的下載任意檔案,在被感染機器上運行。

其它名稱

W32/Womble!ITW#1 (Wildlist), W32/Womble.A (F-Secure), WORM_WOMBLE.A (Trend), W32.Womble.A@mm (Symantec), Win32.Womble.B, W32/Womble@MM (McAfee), W32/Womble-B (Sophos), Email-Worm.Win32.Womble.a (Kaspersky)
病毒屬性蠕蟲病毒危害性:低危害流行程度:中

具體介紹

病毒特徵:
Win32/Womble.B是一種傳送大量郵件的蠕蟲,可能是一個可運行程式,也可能是一個Windows Media檔案,攻擊MS06-001漏洞。病毒還可能通過網路共享進行複製,並周期性的下載任意檔案,在被感染機器上運行。
感染方式:
Womble.B可能使用兩種形式分布:
作為一個可運行程式,帶有.pif 或 .exe 擴展名;
作為一個Windows Media 檔案,攻擊MS06-001 漏洞。這個漏洞允許攻擊者在易受攻擊的機器上運行他們選擇的代碼,一般是Win32/Worfo病毒。這個檔案可能帶有 .jpg 或 .wmf 擴展名。
請到以下站點下載相關的微軟漏洞補丁:
http://www.microsoft.com/china/technet/security/Bulletin/MS06-001.mspx
如果蠕蟲作為一個Windows Media檔案運行,在使用任意media顯示之前攻擊代碼先運行,並引起瀏覽器程式損壞或者根本不能啟動。攻擊代碼將蠕蟲的可運行程式生成到%System%目錄,並隨後運行它。可運行程式使用以下任一檔案名稱:
winlogin.exe
netupdate.exe
winupdate.exe
winlog.exe
如果不是從%System%目錄運行蠕蟲的可運行程式,它就會使用現有檔案名稱複製到%System%目錄。如果檔案名稱使用.pif擴展名,蠕蟲就會使用.exe擴展名替代它。
使用任何一種形式,蠕蟲都會生成一個資料夾%AppData%\Microsoft\WinTools。
註:'%AppData%'是一個可變的路徑。病毒通過查詢作業系統來決定當前AppData資料夾的位置。 一般在以下路徑C:\Documents and Settings\\Application Data,在XP系統上是C:\Documents and Settings\\Local Settings\Application Data。
病毒修改以下註冊表,在現有內容中添加很多空格和它的完整路徑:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit
例如:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
= "Explorer.exe<many more spaces> %System%\<worm filename>"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit
= "%System%\userinit.exe<many more spaces>,%System%\<worm filename>"
為了確保在系統啟動時運行蠕蟲,它還會生成以下鍵值:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
\ms_net_update = "%System%\"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
\ms_net_update = "%System%\"
如果蠕蟲沒有從%System%目錄中運行,那么它隨後會在%System%目錄啟動一個新的副本。
傳播方式:
通過郵件傳播
為了配置病毒郵件,Womble.B查詢以下鍵值獲取SMTP伺服器和用戶帳戶等信息:
HKCU\Software\Microsoft\Internet Account Manager\Accounts
郵件地址的獲取:
蠕蟲從Windows Address Book獲取收件人郵件地址。它還會通過掃描所有驅動器和RAM上包含以下擴展名的檔案來獲取郵件地址:
.adb
.asp
.dbx
.htm
.php
.pl
.sht
.tbb
.txt
蠕蟲忽略用戶名中包含"support" 或 "virus" 字元串的郵件地址,並忽略域名中包含以下字元串的地址:
avp.
drweb.
mccafee.
microsoft.
msn.
ruslis
sun.com
syma
發件地址:
Womble.B生成不同的發件地址和回復地址。發件地址使用被感染的用戶帳戶信息。回復地址的用戶名由4到8個任意的小寫字母組成,域名從以下列表中選擇:
123-email.com
138mail.com
888mail.net
altavista.digital.com
animail.net
asiamail.com
aussiemail.com.au
BuildReferrals.com
canada.com
canoemail.com
coolmail.to
dbzmail.com
dcemail.com
didamail.com
dma.be
doramail.com
ezwebmailer.com
fastemailer.com
fastmail.fm
freemail.com.au
gnu.org
gopile.com
graffiti.net
hotmac.com
hush.com
hushmail.com
inbox.com
inmail.sk
koreanmail.com
letterbox.org
linuxmail.org
macbox.com
mail.atlas.cz
mailasia.com
mail-center.com
mailcity.com
mailmaster.com
mailpanda.com
mauimail.com
moose-mail.com
myfastmail.com
mypad.com
myway.com
netzoola.com
refrewards.com
rocketmail.com
rocketmail.com
snail-mail.net
SoftHome.net
starmail.com
tmicha.net
uk2.net
ureach.com
usa.net
uymail.com
vfemail.net
walla.com
weekonline.com
whale-mail.com
wildmail.com
yahoo.ca
yahoo.com
yyhmail.com
它還會從以下列表選擇描述的名字,但是不顯示在郵件中:
ada
adam
alex
barbara
bill
bob
brad
celine
chris
damien
david
don
donald
elizabeth
eva
george
hanz
jack
jerry
john
mariah
mark
marry
matt
mickle
robert
shawn
ted
tom
tommy
william
主題:
主題從以下任意選擇:
!!
Action
Beauty
Bush
FIFA
Helo
important
Incredible!!
info
Kiss
Laura
Laura and John
Lola
Look at this!!!
Miss Khan
Nataly
Ola
Olympus
Paula
pic
pics
private
private pics
Re:
RE:
Re: hi
Re: info
RE: pic
read this
Robert
Sex
附屬檔案:
蠕蟲使用2種形式(可運行程式或Windows Media檔案)中的一種附加到郵件中。隨後Womble.B將檔案放到ZIP檔案中,還可能加入密碼保護。
可運行程式的檔案名稱從以下選擇,並帶有.pif 或 .exe 擴展名:
antispam
firefox_update
free_anti_spyware
free_antivirus
google_tool
ie_update
inet
java_update
mail_control
ms_office_update
net_update
new_win_patch
remove_spyware
www
yahoo_tool
ZIP檔案的檔案名稱也從以上列表中選擇,如果有密碼保護就帶有.pif.psw.zip 擴展名,如果沒有密碼就帶有.pif.zip擴展名。例如:"new_win_patch.pif.psw.zip"。
Windows Media 檔案的檔案名稱從以下列表中選擇,並帶有.jpg 或 .wmf擴展名:
about_windows
congratulations
google_info
mails_list
new_picture
picture
some_info
www
yahoo_info
your_friends
隨後蠕蟲從上述列表中選擇兩個檔案名稱作為ZIP檔案名稱。第一個擴展名是以下中的一個:
.jpg.zip
.jpg.passw.zip
第二個擴展名是以下中的一個:
.wmf.zip
.wmf.passw.zip
當ZIP檔案的擴展名改變時,ZIP中的檔案的名稱保持相同,因此ZIP檔案可能帶有.wmf擴展名(例如:"some_info.wmf.zip"),包含檔案帶有.jpg擴展名。
郵件內容:
對於帶有密碼保護附屬檔案的郵件,郵件內容包含以下HTML代碼:
-----------------------------
Zip P A S S :
-----------------------------
能夠顯示HTML的郵件客戶端顯示為:
-----------------------------
Zip P A S S :
-----------------------------
蠕蟲還使用以下郵件內容:
---------------------------------------------------
There is some info in the attached file !!!
---------------------------------------------------
顯示為:
---------------------------------------------------
There is some info in the attached file !!!
---------------------------------------------------
以下是病毒郵件示例:
通過網路共享傳播
Womble.B嘗試通過網路共享傳播。
蠕蟲在%AppData%\Microsoft\WinTools目錄中生成一個子目錄,從以下任意選擇一個名稱:
dvd
dvd_info
free
h_core
l_this
lunch
mp3
new_mp3
new_video
photo
sh_docs
take_it
video
xxx
它在這裡放兩個沒有壓縮的病毒副本,一個是可運行格式,一個是Windows Media格式。Womble.B使用上面附屬檔案描述中的方法為這些病毒副本生成檔案名稱。隨後嘗試將新生成的目錄用做網路共享。
蠕蟲可能重複以上過程。如果選擇的目錄已經存在,它就會複製一個新檔案到這個目錄中,每個格式都包含幾個副本。
Womble.B還嘗試連線網路中的其它系統。它使用被感染機器IP位址的前3個位元組,第四個位元組從0到255循環,每個數值都依次嘗試一次。如果它能夠連線到一個系統,並且有可利用的網路共享,蠕蟲就會在這個已分享資料夾中生成一個未壓縮的副本――一次使用可運行程式格式,一次使用Windows Media檔案格式。
從0到255所有數值都嘗試一次後,蠕蟲保持IP位址的前3個位元組,第4個位元組再一次從0到255在循環一次。使用這種方式,網路中的系統可能多次收到蠕蟲的兩種格式的副本。
危害:
下載並運行任意檔案
每隔半小時,Womble.B連線support.365soft.info伺服器下載3個檔案的列表。這些text檔案包含下載可運行程式的URL和版本號。蠕蟲將每個檔案都保存到%System%目錄,並保留下載檔案的名稱,並在.exe擴展名之前插入5個任意數字。例如,如果下載的檔案是"bot1.exe",那么蠕蟲就會將它保存到%System%\bot1.22615.exe,隨後運行這個檔案。
Womble.B將下載檔案的版本號保存到以下註冊表位置:
HKLM\Software\WinUpload\ =
例如,"bot1.exe"的4版本就保存為:
HKLM\Software\WinUpload\bot1.exe = 4
Womble.B利用這個鍵值檢查請求的檔案是否已經被下載。使用這種方式,它只下載新的檔案或已經下載的檔案的更新的版本。
Womble.B可能連線以下伺服器來獲取下載的檔案列表:
http ://211.184.55.7
http ://anyproxy.net
http ://baishui.info
http ://email-Support.Seekful.com
http ://est.otsos.info
http ://gogonic.info
http ://jiji.2tw.info
http ://mail.96520.org
http ://mymail.100hotmail.com
http ://mymail.allformail.com
http ://mymail.bokee.com
http ://mymail.dlxt.net
http ://mymail.shadrach.net
http ://newstarking.info
http ://qwe115.info
http ://realnyy-otsos.pp.ru
http ://se006.info
http ://server1.mymail.ph
http ://support.enviroweb.org
http ://support.nikontech.com
http ://support.software602.com
http ://tut.shluxa.info
http ://update.co.tv
http ://update.ebilion.com
http ://update.mediaroz.com
http ://update.snowsoft.co.kr
http ://update.wwwmail.org
http ://webmemory.info
http ://www.3btasarim.com
其他信息
Womble.B嘗試從http ://www.sun.com/index.html下載頁面,檢查internet連通性。
蠕蟲將它的一個版本號保存到:
HKLM\Software\WinUpdate\Version
它還將很多最近運行時間的信息保存到以下鍵值:
HKCU\Software\Microsoft\Windows\CurrentVersion\wmf.1.1
HKCU\Software\Microsoft\Windows\CurrentVersion\wmf.1.2
清除:
KILL安全胄甲Vet 30.3.3050 版本可檢測/清除此病毒。

相關詞條

相關搜尋

熱門詞條

聯絡我們