Email-Worm.Win32.Nyxem.e

該病毒屬郵件蠕蟲類,病毒盜用WINZIP圖示,藉以欺騙用戶瀏覽。病毒主要通過傳送含有病毒附屬檔案的郵件進行傳播。病毒運行後複製原病毒體到%System%\Sample.zip,而後複製原病毒體到%wnidir%\及%System%\下,修改註冊表檔案,添加到啟動項,達到隨系統啟動的目的。

介紹

病毒名稱: Email-Worm.Win32.Nyxem.e
病毒類型: 郵件蠕蟲
檔案 MD5: 1C66904ECB846DA5B1FB2072F9EA6E0E
公開範圍: 完全公開
危害等級: 高
檔案長度: 95,690 位元組
感染系統: Windows 98 及以上版本
開發工具: Microsoft Visual Basic 5.0 / 6.0
加殼類型: UPX
命名對照: Symentec[無]
Mcafee[無]

病毒描述

病毒通過搜尋感染主機上某些擴展名的檔案獲取其中的郵件地址來傳送郵件。病毒還會嘗試終止某些反病毒及安全軟體的相關進程,並嘗試刪除%ProgramFiles%\下這些軟體的相關檔案,該病毒對用戶有一定的危害。

行為分析

1、病毒運行後複製原病毒體到:
%System%\Sample.zip
%System%\New WinZip File.exe
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe
%System%\WINZIP_TMP.EXE
%Start Menu%Programs\Startup\WinZip Quick Pick.exe
%Windir%\rundll16.exe
2、修改註冊表檔案
新建以下鍵值:
HKEY_LOCAL_METHINE\Software\Microsoft\Windows
\CurrentVersion\Run
鍵值:字串: "ScanRegistry"="scanregw.exe /scan"
查找某些反病毒及安全軟體的相關鍵值並嘗試刪除:
位置:
HKEY_LOCAL_METHINE\Software\Microsoft\Windows
\CurrentVersion\Run
HKEY_LOCAL_METHINE\Software\Microsoft\Windows
\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run
對應鍵值:
pccclient.exe
pccguide.exe
PCCIOMON.exe
PccPfw
Pop3trap.exe
rtvscn95
ScanInicio
SSDPSRV
TM Outbreak Agent
tmproxy
Vet Alert
VetTray
vptray
nprotect
ccapp
3、病毒運行後嘗試查找以下擴展名的檔案,並從中獲取郵件地址繼而傳送郵件,病毒通過SMTP伺服器傳送郵件。
dbx
mbx
msg
NWS
oft
txt
eml
imh
msf
htm
病毒郵件的題目可能為:
Fw: DSC-00465.jpg
Fw: Funny :)
Fw: Picturs
Fw: Real show
Fw: SeX.mpg
Fw: Sexy
Fwd: Crazy illegal Sex!
Fwd: image.jpg
……
病毒郵件的主體可能為:
how are you? i send the details.
i attached the details. Thank you.
Hot XXX Yahoo Groups
i just any one see my photos. It's Free :)
Note: forwarded message attached. You Must View This Videoclip!
……
病毒附屬檔案可能為:
007.pif
3923E-02,.scR
677.pif
Adults_9,zip.sCR
Arab sex DSC-00465.jpg
ATT01.zip.sCR
eBook.pdf
eBook.PIF
Clipe,zip .sCr
WinZip,zip .scR
Adults_9,zip .sCR
Photos,zip .sCR
Attachments[001],B64 .sCr
3923E-02,UUE .scR
SeX,zip .scR
WinZip.zip .sCR
ATT01.zip .sCR
Word.zip .sCR
Word XP.zip .sCR
New Video,zip .sCr
Attachments,zip .SCR
Atta[001],zip .SCR
……
4、病毒遍歷系統當前進程,並嘗試終止含有以下字元串的進程,病毒還會嘗試刪除%ProgramFiles%\下這些反病毒及安全軟體的相關檔案:
kaspersky
removal
mcafee
scan
norton
symantec
trend micro
virus
……
5、病毒也可應通過網路共享傳播,如:
\c$\Documents and Settings\All Users\Start Menu
\Programs\Startup\WinZip Quick Pick.exe
\c$\Documents and Settings\All Users\Start Menu
\Programs\Startup\WinZip Quick Pick.lnk
\Admin$\WINZIP_TMP.exe
\c$\WINZIP_TMP.exe
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。

清除方案

1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程:
Sample.zip
New WinZip File.exe
scanregw.exe
Update.exe
Winzip.exe
WINZIP_TMP.EXE
(2) 刪除病毒檔案:
%System%\Sample.zip
%System%\New WinZip File.exe
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe
%System%\WINZIP_TMP.EXE
%User Profile%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
%Windir%\rundll16.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_METHINE\Software\Microsoft\Windows\CurrentVersion\Run
鍵值:字串: "ScanRegistry"="scanregw.exe /scan"

相關搜尋

熱門詞條

聯絡我們