病毒簡介
病毒名稱: P2P-Worm.Win32.Niklas.y
病毒類型: 蠕蟲
檔案 MD5: 79F9937933F4362783B9FB90129AA281
公開範圍: 完全公開
危害等級: 中
檔案長度: 12,288 位元組
感染系統: Windows 98 及以上版本
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: UPX
命名對照: Symentec[W32.HLLW.Niklas]
Mcafee[無]
病毒描述:
該病毒屬蠕蟲類,病毒主要通過p2p軟體傳播,如:Grokster、BearShare、Kazaa等,病毒運行後複製原病毒檔案到%windir%下,病毒通過修改並查找註冊表檔案,達到將原病毒副本添加到啟動項並查找出以安裝的p2p軟體,從而複製原病毒副本到p2p軟體目錄下,嘗試傳播。病毒也會通過遍歷系統中某些目錄,並嘗試複製原病毒副本到這些目錄中。病毒運行後還會遍歷系統當前進程,嘗試終止某些反病毒及安全軟體的進程,並搜尋註冊表檔案,刪除其中某些反病毒及安全軟體的鍵值。
行為分析:
1、複製原病毒體到:
%windir%\melis.exe
%windir%\naz.scr
%windir%\temp\project32\<random>.exe
2、對註冊表檔案進行新建、查找、刪除操作:
新建如下鍵值:
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
鍵值:字串:MELIS = "%Windir%\melis.exe”
HKEY_CURRENT_USER\Software\Kazaa\LocalContent\
鍵值:字串:DisableSharing" = "0"
查找以下p2p軟體的相關鍵值,若存在則複製原病毒體到這個資料夾內,等待傳播:
HKEY_CURRENT_USER\Software\Kazaa\Transfer\DlDir0
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
\DownloadDir
HKEY_CURRENT_USER\Software\iMesh\Client
\LocalContent\DownloadDir
HKEY_CURRENT_USER\Software\shareaza\Shareaza
\Transfers\DownloadsPath
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
\Download Directory
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Shell Folders\Personal
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Shell Folders\Desktop
HKEY_LOCAL_METHINE\SOFTWARE\LimeWire\InstallDir
HKEY_LOCAL_METHINE\Software\Mirabilis\ICQ
\DefaultPrefs\Receive Path
刪除某些反病毒及安全軟體相應的註冊表鍵值:
註冊表項:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\RunServices
鍵值:
avpcc
AVPCC Service
BlackIce Utility
F-StopW
McAfee Firewall
McAfee Winguage
McAfee.InstantUpdate.Monitor
McAfeeVirusScanService
McAfeeWebscanX
McAgentExe
McUpdateExe
NAV Agent
NAV Configuration Wizard
NAV DefAlert
NB Common Dialog Enhancements
NB Start Menu
……
3、遍歷以下目錄,並嘗試複製原病毒體到該目錄中:
%ProgramFiles%\Grokster\My Grokster
%ProgramFiles%\WinMX\My Shared Folder
%ProgramFiles%\ICQ\Shared Files
%ProgramFiles%\Kazaa Lite\My Shared Folder
%ProgramFiles%\KMD\My Shared Folder
%ProgramFiles%\LimeWire\Shared
%ProgramFiles%\BearShare\Shared
%ProgramFiles%\Rapigator\Share
%ProgramFiles%\mIRC\Download
……
4、病毒運行後還會遍歷系統當前進程,嘗試終止某些反病毒及安全軟體的進程:
avsched32.exe
AVWIN95.EXE
AVWUPD32.EXE
blackd.exe
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
MOOLIVE.EXE
mpftray.exe
N32SCANW.EXE
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
(2) 刪除病毒檔案
%windir%\melis.exe
%windir%\naz.scr
%windir%\temp\project32\<random>.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值:字串:MELIS = "%Windir%\melis.exe”
