病毒簡介
Worm/P2P.Niklas.u
病毒長度:不定
病毒類型:網路蠕蟲
危害等級:*
影響平台:Win9X/2000/XP/NT/Me
Worm/P2P.Niklas.u是用Delphi語方編寫並經UPX 1.08, Yoda's crypter 1.2進行壓縮,通過 KaZaA, Morpheus, eDonkey2000等檔案共享網路進行傳播,會嘗試終止一些反病毒軟體及防火牆程式。
傳播過程及特徵
1.創建資料夾:
%Windir%\Temp\Binary32\
生成檔案:
%Windir%\niklaus.exe
%Windir%\kamer.scr
%Windir%\melis.exe
%Windir%\Temp\Binary32\<任意名>.exe
2.修改註冊表:
【HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run】
"nikLaus" = "%Windir%\niklaus.exe"
【HKEY_CURRENT_USER\Software\Kazaa\LocalContent】
"DisableSharing" = "0"
3.試圖破壞反病毒軟體及防火牆程式,不但終止其進程,還會刪除註冊表 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices中的相關鍵值
4.通過檔案共享進行傳播。
5.通過註冊表中的一些鍵值獲取目錄,在這些目錄下搜尋所有的.exe檔案,並用蠕蟲自身替代原檔案:
HKEY_CURRENT_USER\Software\Kazaa\Transfer
"DlDir0"
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
"DownloadDir"
HKEY_CURRENT_USER\Software\shareaza\Shareaza\Transfers
"DownloadsPath"
HKEY_LOCAL_MACHINE\SOFTWARE\LimeWire
"InstallDir"
HKEY_CURRENT_USER\Software\iMesh\Client\LocalContent
"DownloadDir"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
"Download Directory"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
"Personal"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
"Desktop"
HKEY_LOCAL_MACHINE\Software\Mirabilis\ICQ\DefaultPrefs
"Receive Path"
獲取的資料夾如:
%ProgramFiles%\Kazaa\已分享檔案夾
%ProgramFiles%\Kazaa Lite\已分享檔案夾
%ProgramFiles%\ICQ\已分享檔案夾
%ProgramFiles%\mIRC\Download
C:\My Downloads
C:\已分享檔案夾
C:\mIRC\Download
……
註:%Windir%為變數,一般為C:\Windows 或 C:\Winnt;
%ProgramFiles%為變數一般為C:\ProgramFiles;
%System%為變數,一般為C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP)。
