Win32.WombleFamily
其它名稱:Email-Worm.Win32.Womble.a (Kaspersky), W32/Womble.A (F-Secure), WORM_WOMBLE.A (Trend), W32.Womble.A@mm (Symantec), W32/Womble@MM (McAfee), W32/Womble-B (Sophos)
病毒屬性:蠕蟲病毒危害性:低危害流行程度:中
具體介紹:
病毒特徵:
Win32/Womble是一族傳送大量郵件的蠕蟲,可能是一個可運行程式,也可能是一個Windows Media檔案,攻擊MS06-001漏洞。病毒還可能通過網路共享進行複製,並周期性的下載任意檔案,在被感染機器上運行。
感染方式:
Womble可能使用兩種形式分布:
作為一個可運行程式,帶有.pif 或 .exe 擴展名;
作為一個Windows Media 檔案,攻擊MS06-001 漏洞。這個漏洞允許攻擊者在易受攻擊的機器上運行他們選擇的代碼,一般是Win32/Worfo病毒。這個檔案可能帶有 .jpg 或 .wmf 擴展名。
請到以下站點下載相關的微軟漏洞補丁:
http://www.microsoft.com/china/technet/security/Bulletin/MS06-001.mspx
如果蠕蟲作為一個Windows Media檔案運行,在使用任意media顯示之前攻擊代碼先運行,並引起瀏覽器程式損壞或者根本不能啟動。攻擊代碼將蠕蟲的可運行程式生成到%System%目錄,並隨後運行它。可運行程式使用以下任一檔案名稱:
winlogin.exe
netupdate.exe
winupdate.exe
winlog.exe
註:'%System%'是一個可變的路徑。病毒通過查詢作業系統來決定當前系統資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
如果不是從%System%目錄運行蠕蟲的可運行程式,它就會使用現有檔案名稱複製到%System%目錄。如果檔案名稱使用.pif擴展名,蠕蟲就會使用.exe擴展名替代它。由於代碼中的錯誤,Womble可能不能正確的使用.pif擴展名安裝檔案。
一些變體使用以下檔案名稱替換%System%目錄中的病毒副本,隨後運行新的副本:
cftmonw.exe
firefoxw.exe
ieupdate.exe
inet.exe
javawin.exe
lsasswin.exe
mdmw.exe
msoffice.exe
netupdate.exe
netwin.exe
servicesw.exe
spoolsw.exe
svchostwin.exe
winlogin.exe
winlogonw.exe
使用任何一種形式,蠕蟲都會生成一個資料夾%AppData%\Microsoft\WinTools。
註:'%AppData%'是一個可變的路徑。病毒通過查詢作業系統來決定當前AppData資料夾的位置。 一般在以下路徑C:\Documents and Settings\\Application Data,在XP系統上是C:\Documents and Settings\\Local Settings\Application Data。
Womble會添加很多很多空格和完整的路徑名到以下註冊表鍵值:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit
例如:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell =
"Explorer.exe %System%\"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit =
"%System%\userinit.exe,%System%\"
為了確保在系統啟動時運行蠕蟲,它還會生成以下鍵值:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ = "%System%\"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ = "%System%\"
可能包含以下內容:
ms_net_update
windows_startup
傳播方式:
通過郵件傳播
為了配置病毒郵件,Womble查詢以下鍵值獲取SMTP伺服器和用戶帳戶等信息:
HKCU\Software\Microsoft\Internet Account Manager\Accounts
並獲取SMTP和用戶帳戶的詳細信息。
郵件地址的獲取:
蠕蟲從Windows Address Book獲取收件人郵件地址。它還會通過掃描所有驅動器和RAM上包含以下擴展名的檔案來獲取郵件地址:
.adb
.asp
.dbx
.htm
.php
.pl
.sht
.tbb
.txt
蠕蟲可能會忽略一些地址,這些地址的用戶名包含"support"、"virus"字元串或者域名中包含以下字元串:
avp.
drweb.
mccafee.
microsoft.
msn.
ruslis
sun.com
syma
有一些變體根本不會檢查郵件地址。
發件地址:
Womble生成不同的發件地址和回復地址。發件地址使用被感染的用戶帳戶信息。回復地址的用戶名由4到8個任意的小寫字母組成,域名從以下列表中選擇:
123-email.com
138mail.com
888mail.net
altavista.digital.com
animail.net
asiamail.com
aussiemail.com.au
BuildReferrals.com
canada.com
canoemail.com
coolmail.to
dbzmail.com
dcemail.com
didamail.com
dma.be
doramail.com
ezwebmailer.com
fastemailer.com
fastmail.fm
freemail.com.au
gnu.org
gopile.com
graffiti.net
hotmac.com
hush.com
hushmail.com
inbox.com
inmail.sk
koreanmail.com
letterbox.org
linuxmail.org
macbox.com
mail.atlas.cz
mailasia.com
mail-center.com
mailcity.com
mailmaster.com
mailpanda.com
mauimail.com
moose-mail.com
myfastmail.com
mypad.com
myway.com
netzoola.com
refrewards.com
rocketmail.com
rocketmail.com
snail-mail.net
SoftHome.net
starmail.com
tmicha.net
uk2.net
ureach.com
usa.net
uymail.com
vfemail.net
walla.com
weekonline.com
whale-mail.com
wildmail.com
yahoo.ca
yahoo.com
yyhmail.com
一些變體回復地址的用戶名由5個任意的小寫字母組成,域名從以下列表中選擇:
bbc.com
blueyonder.co.uk
bonbon.net
cashette.com
caths.co.uk
cnn.com
cwazy.co.uk
freeserve.co.uk
freeserve.net
gawab.com
hotmail.com
hotpop.com
lpemail.com
nerdshack.com
orcon.net.nz
phreaker.net
pop3.com
redwhitearmy.com
smtp.com
toughguy.net
ukgateway.net
usa.com
yahoo.com
它還會從以下列表選擇描述的名字,但是不顯示在郵件中:
ada
adam
alex
barbara
bill
bob
brad
celine
chris
damien
david
don
donald
elizabeth
eva
george
hanz
jack
jerry
john
mariah
mark
marry
matt
mickle
robert
shawn
ted
tom
tommy
william
主題:
主題從以下任意選擇:
!!
Action
Beauty
Bush
FIFA
Helo
Hi
important
Incredible!!
info
Kiss
Laura
Laura and John
Lola
Look at this!!!
Miss Khan
Nataly
Ola
Olympus
Paula
pic
pics
private
private pics
Re:
RE:
Re: hi
Re: info
RE: pic
read this
Robert
Sex
附屬檔案:
蠕蟲使用2種形式(可運行程式或Windows Media檔案)中的一種附加到郵件中。隨後Womble將檔案放到ZIP檔案中,還可能加入密碼保護。
可運行程式的檔案名稱從以下選擇,並帶有.pif 或 .exe 擴展名:
antispam
firefox_update
free_anti_spyware
free_antivirus
google_tool
ie_update
inet
java_update
mail_control
ms_office_update
net_update
new_win_patch
remove_spyware
www
yahoo_tool
ZIP檔案的檔案名稱也從以上列表中選擇,如果有密碼保護就帶有.pif.psw.zip 擴展名,如果沒有密碼就帶有.pif.zip擴展名。
有的變體使用以下檔案名稱:
GoogleHack
My passwords.doc_
My passwords.txt_
MySexMovie
seduction secrets.doc_
Seduction secrets.txt_
Windows serial number.doc_
Windows serial number.txt_
例如可能的檔案名稱是"Seduction secrets.txt .pif"。
Windows Media 檔案的檔案名稱從以下列表中選擇,並帶有.jpg 或 .wmf擴展名:
about_windows
congratulations
google_info
mails_list
new_picture
picture
some_info
www
yahoo_info
your_friends
隨後蠕蟲從上述列表中選擇一個檔案名稱作為ZIP檔案名稱。ZIP可能帶有.jpg.zip 或 .wmf.zip擴展名。如果使用密碼保護,ZIP的擴展名可能是.jpg.passw.zip 或 wmf.passw.zip。Womble留下其它被解壓的檔案。ZIP的擴展名可能改變,檔案名稱是相同的,ZIP檔案可能帶有.wmf擴展名(例如"some_info.wmf.zip"),將包含帶有.jpg擴展名的檔案。
一些變體替換使用以下檔案名稱:
anna
bush
GoogleHack
me
My passwords
MySexPicture
MyWife
OurNewCar
OurNewHouse
Seduction secrets
WallPaper
Windows serial number
這三個附屬檔案檔案名稱用在一個完整的郵件中。
郵件內容:
如果附屬檔案沒有密碼,Womble可能使用以下郵件內容:
-------------------------
-------------------------
Attach File...
-------------------------
There is some info in the attached file !!!
-------------------------
Hi !!!
<19 random upper and lower case characters>
<19 random upper and lower case characters >
--
Best Regards
For example, this might appear as:
Hi !!!
VEWhmpveqDbvzbcc
ArfsgehFlTOPiHsVJmr
--
Best Regards
-------------------------
如果附屬檔案有密碼,顯示以下內容:
-------------------------
Arc Attach File Password:
-------------------------
Zip P A S S :
-------------------------
Hi !!!
Zip P A S S :
-------------------------
通過網路共享傳播
Womble嘗試通過網路共享傳播,將病毒複製到網路上的其它系統,並複製到本地的網路共享中。
蠕蟲在%AppData%\Microsoft\WinTools目錄中生成一個子目錄,從以下任意選擇一個名稱:
dvd
dvd_info
free
h_core
l_this
lunch
mp3
my_staff
new_mp3
new_video
photo
sh_docs
take_it
video
xxx
它在這裡放兩個沒有壓縮的病毒副本,一個是可運行格式,一個是Windows Media格式。Womble使用上面附屬檔案描述中的方法為這些病毒副本生成檔案名稱。隨後嘗試將新生成的目錄用做網路共享。
蠕蟲可能重複以上過程。如果選擇的目錄已經存在,它就會複製一個新檔案到這個目錄中,每個格式都包含幾個副本。
Womble還嘗試連線網路中的其它系統。它使用被感染機器IP位址的前3個位元組,第四個位元組從0到255循環,每個數值都依次嘗試一次。如果它能夠連線到一個系統,並且有可利用的網路共享,蠕蟲就會在這個已分享資料夾中生成一個未壓縮的副本――一次使用可運行程式格式,一次使用Windows Media檔案格式。
從0到255所有數值都嘗試一次後,蠕蟲保持IP位址的前3個位元組,第4個位元組再一次從0到255在循環一次。使用這種方式,網路中的系統可能多次收到蠕蟲的兩種格式的副本。
危害:
下載並運行任意檔案
每隔半小時,Womble連線support.365soft.info伺服器下載3個檔案的列表。這些text檔案包含下載可運行程式的URL和版本號。蠕蟲將每個檔案都保存到%System%目錄,並保留下載檔案的名稱,並在.exe擴展名之前插入5個任意數字。例如,如果下載的檔案是"bot1.exe",那么蠕蟲就會將它保存到%System%\bot1.22615.exe,隨後運行這個檔案。
Womble將下載檔案的版本號保存到以下註冊表位置:
HKLM\Software\WinUpload\ =
例如,"bot1.exe"的4版本就保存為:
HKLM\Software\WinUpload\bot1.exe = 4
Womble利用這個鍵值檢查請求的檔案是否已經被下載。使用這種方式,它只下載新的檔案或已經下載的檔案的更新的版本。
Womble可能連線以下伺服器來獲取下載的檔案列表:
http://211.184.55.7
http://anyproxy.net
http://baishui.info
http://email-Support.Seekful.com
http://est.otsos.info
http://gogonic.info
http://jiji.2tw.info
http://mail.96520.org
http://mymail.100hotmail.com
http://mymail.allformail.com
http://mymail.bokee.com
http://mymail.dlxt.net
http://mymail.shadrach.net
http://newstarking.info
http://qwe115.info
http://realnyy-otsos.pp.ru
http://se006.info
http://server1.mymail.ph
http://support.enviroweb.org
http://support.nikontech.com
http://support.software602.com
http://tut.shluxa.info
http://update.co.tv
http://update.ebilion.com
http://update.mediaroz.com
http://update.snowsoft.co.kr
http://update.wwwmail.org
http://webmemory.info
http://www.3btasarim.com
其他信息
Womble嘗試從http://www.sun.com/index.html 或http://microsoft.com/index.html下載頁面,檢查internet連通性。
蠕蟲將它的一個版本號保存到:
HKLM\Software\WinUpdate\Version
它還將很多最近運行時間的信息保存到以下鍵值:
HKCU\Software\Microsoft\Windows\CurrentVersion\wmf.1.1
HKCU\Software\Microsoft\Windows\CurrentVersion\wmf.1.2
清除:
KILL安全胄甲最新版本可檢測/清除此病毒。
相關條目
特洛伊病毒Win32.SillyDl.IQ
Win32.Kipis.A蠕蟲病毒
蠕蟲病毒Win32.Luder.U
特洛伊病毒Win32.Chepvil.C
蠕蟲病毒Win32.Luder.O
蠕蟲病毒Win32.Robzips.M
蠕蟲病毒Win32.Duiskbot.AF