最新通过MSN传播的蠕虫来了!

病毒名称:MSN传播的蠕虫Win32.Nochod.J
其它名称:W32/Chode-G (Symantec), W32/Kelvir.worm.ex (McAfee), Win32/Nochod.D!Worm, Backdoor.Win32.Landis.l (Kaspersky)
病毒属性:蠕虫病毒  危害性:中等危害  流行程度:高
具体介绍:
病毒特性:
Win32.Nochod.J是一种利用IRC控制,通过MSN Messenger和AOL Instant Messenger网络传播的蠕虫病毒。病毒经过PECompact格式加壳,大小为119,296字节的win32可执行程序。


感染方式:
执行时,Nochod.J拷贝自己到"%System%\<random folder name>\csrss.exe",并修改"win.ini"文件,以确保在每次系统启动时运行这个文件:
[windows]
load = %System%\<random folder name>\csrss.exe
run = %System%\<random folder name>\csrss.exe

在Windows NT/2000/XP/2003上,通过系统的以下键值自动转换:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load = "%System%\<random folder name>\csrss.exe"
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run = "%System%\<random folder name>\csrss.exe"

蠕虫还设置以下键值,尽管这几个键值不指向任何数据:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\csrss
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\csrss

为了在每次系统启动时运行病毒,蠕虫还在"%Profile%\Start Menu\Programs\StartUp"目录中会生成一个名为"csrss.lnk"的链接,链接到%System%\<random folder name>\csrss.exe"。

注:%System%是一个可变路径,病毒通过查询操作系统来决定当前System文件夹的位置。Windows 2000 和 NT 默认的安装路径是 C:\Winnt\System32; 95,98 和 ME默认的安装路径是C:\Windows\System;XP默认的安装路径是C:\Windows\System32。
%Profile%是一个可变路径,指向用户的profile文件夹。病毒通过查询操作系统来决定当前Profile文件夹的位置。一般都在以下位置:C:\Documents and Settings\<username>。

蠕虫还会生成以下文件:
§ %System%\<random folder name>\csrss.ini – 被蠕虫用来存放配置数据
§ %System%\<random folder name>\csrss.dat – 一个大小为216 字节的数据文件


传播方式:
通过MSN Messenger/ AOL Instant Messenger传播
蠕虫能够通过MSN Messenger和AOL Instant Messenger进行传播。它给机器上所有能够发现并连接到的用户发送信息,内容包括一个链接,链接到蠕虫的运行程序。


危害:
后门功能
Nochod.J是一个IRC bot,能够被远程攻击者控制。允许攻击者在感染的机器上执行很多操作,包括:
§ 通过MSN和AOL开始传播
§ Flood 目标系统(通过ping,HTTP, UDP, TCP –拒绝服务攻击)
§ 获取系统信息 (CPU, 内存, 操作系统, 驱动器)
§ 获取蠕虫的版本
§ 开始/停止SOCKS proxy server
§ 更新蠕虫
§ 下载并运行任意文件
§ 删除文件和目录
§ 卸载蠕虫
§ 生成并运行文件(包括TCPIP.sys patcher utility)
§ 获取系统运行时间

终止进程
蠕虫会终止以下进程:
pccguide.exe
bbeagle.exe
msconfig.exe
kav.exe
kavsvc.exe
mcvsshld.exe
mcagent.exe
mcvsrte.exe
mcshield.exe
mcvsftsn.exe
mcdash.exe
mcvsescn.exe
mcinfo.exe
mpfagent.exe
mpftray.exe
mpfservice.exe
mskagent.exe
mcmnhdlr.exe
sndsrvc.exe
usrprmpt.exe
ccapp.exe
ccevtmgr.exe
spbbcsvc.exe
ccsetmgr.exe
symlcsvc.exe
npfmntor.exe
navapsvc.exe
issvc.exe
ccproxy.exe
navapw32.exe
navw32.exe
smc.exe
outpost.exe
zlclient.exe
vsmon.exe
isafe.exe
pandaavengine.exe
msblast.exe
penis32.exe
teekids.exe
d3dupdate.exe
sysmonxp.exe
i11r54n4.exe
irun4.exe
mscvb32.exe
sysinfo.exe
mwincfg32.exe
wincfg32.exe
winsys.exe
zapro.exe
winupd.exe
enterprise.exe
regedit.exe
hijackthis.exe
gcasdtserv.exe
gcasserv.exe
pcctlcom.exe
tmntsrv.exe
tmproxy.exe
tmpfw.exe
pcclient.exe
Stops Services

停止服务
通过删除"HKLM\Software\Microsoft\Windows\CurrentVersion\Run"中的以下键值,蠕虫从开始程序中停止很多反病毒和防火墙软件的运行:
CleanUp
MCUpdateExe
VirusScan Online
VSOCheckTask
ccApp
MCAgentExe
Symantec NetDriver Monitor
SmcService
Outpost Firewall
gcasServ
pccguide.exe
KAVPersonal50
Zone Labs Client

如果以下服务在系统中运行,蠕虫也会停止它们,并使他们失效:
CAISafe
GuardDogEXE
ISSVC
MCVSRte
McShield
MpfService
OutpostFirewall
PcCtlCom
SAVScan
SBService
SNDSrvc
SPBBCSvc
SharedAccess
SmcService
Symantec Core LC
TmPfw
Tmntsrv
ccEvtMgr
ccProxy
ccPwdSvc
ccSetMgr
kavsvc
mcupdmgr.exe
navapsvc
srservice
tmproxy
vsmon
wscsvc

蠕虫还会破坏标题中包含以下文本的窗口:
service
microsoft antispyware
hijackthis


修改Hosts文件
Hosts文件包含IP地址和主机名的映射。Windows在查询DNS之前需要检查Hosts文件。在windowsXP,2000,NT中hosts文件位于%System%\drivers\etc\hosts;在windows9x中hosts文件位于%Windows%\hosts。

蠕虫修改hosts文件,将以下站点改为local host,可以有效的阻止用户的访问:
avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
f-secure.com
fastclick.net
ftp.f-secure.com
ftp.sophos.com
grisoft.com
housecall.trendmicro.com
kaspersky.com
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
merijn.org
my-etrust.com
nai.com
networkassociates.com
pandasoftware.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spywareinfo.com
support.microsoft.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.com
www.avp.com
www.awaps.net
www.ca.com
www.f-secure.com
www.fastclick.net
www.grisoft.com
www.kaspersky.com
www.mcafee.com
www.merijn.org
www.microsoft.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.pandasoftware.com
www.sophos.com
www.spywareinfo.com
www.symantec.com
www.trendmicro.com
www.viruslist.com
www.zonelabs.com
www3.ca.com
zonelabs.com


修改系统设置
蠕虫设置以下键值,使注册表编辑工具(如:注册表编辑器)失效:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools = 1

蠕虫设置以下键值,使隐藏文件在资源管理器中看不到:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden = 2
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden = 0
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = 0

蠕虫还设置以下键值,使用户不能看到远程管理员设置:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoAdminPage = 1

清除:
KILL安全胄甲InoculateIT v23.70.23,Vet 11.x.9365版本可检测/清除此病毒。

kill版本:
最后编辑2005-09-08 20:21:03