陈中祥的BLOG
  IT博客 :: 首页 :: 联系 :: 聚合  :: 管理
  12 Posts :: 30 Stories :: 3 Comments :: 0 Trackbacks
MSN传播的病毒Win32.Nochod.I
病毒名称:MSN传播的病毒Win32.Nochod.I
其它名称:W32/Chode-F (Sophos), W32/Kelvir.worm.ev (McAfee), Backdoor.Tixanbot (Symantec), Win32/VBbot.A!Worm, WORM_VBBOT.I (Trend), Backdoor.Win32.VBbot.i (Kaspersky)
病毒属性:蠕虫病毒 危害性:高危害 流行程度:
具体介绍:


病毒特性:
Win32.Nochod.I是一种利用IRC控制,通过MSN Messenger传播的蠕虫病毒。病毒经过PECompact格式加壳,大小为98,816字节的win32可执行程序。


感染方式:
执行时,Nochod.I拷贝自己到"%System%\<random folder name>\svshost.exe",并设置以下注册表键值,以确保在每次系统启动时运行这个文件:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\svshost = "%System%\<random folder name>\svschost.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\svshost = "%System%\<random folder name>\svshost.exe"

蠕虫还会在"%Profiles%\StartMenu\Programs\Startup"生成一个名为svshost.lnk的链接,链接到%System%\<random folder name>\svshost.exe,以确保在每次系统启动时运行蠕虫。

Nochod还会在%Temp%目录下生成一个名为"temp.bat"的批处理文件,删除原始的运行文件。

注:%System%是一个可变路径,病毒通过查询操作系统来决定当前System文件夹的位置。Windows 2000 和 NT 默认的安装路径是 C:\Winnt\System32; 95,98 和 ME默认的安装路径是C:\Windows\System;XP默认的安装路径是C:\Windows\System32。
    %Profile%是一个可变路径,指向用户的profile文件夹。病毒通过查询操作系统来决定当前Profile文件夹的位置。一般都在以下位置:C:\Documents and Settings\<username>。
    %Temp%是一个可变路径,指向用户的Temp文件夹。病毒通过查询操作系统来决定当前Temp文件夹的位置。一般都在以下位置:"C:\Documents and Settings\<username>\Local Settings\Temp",或 "C:\WINDOWS\TEMP"。


传播方式:
通过MSN Messenger传播
蠕虫能够通过MSN Messenger进行传播。它给机器上所有能够发现并连接到的用户发送信息和一个链接。信息内容如下:
LMAO, this is freaking me out!!
looooooool....check this out!!!
Automessage : download the new MSN update here!
rofl, this ownz!!
Hej, you already updated your MSN?
Get the new MSN Messenger here :
Click here if you want more MSN emotions:
w0000t, you have to check this out!
lmao, this roxXxX!!
wow wow wow.....you have to check this out!!!


危害:
后门功能
Nochod.I是一个IRC bot,能够被远程攻击者控制。允许攻击者在感染的机器上执行很多操作,包括:
§ 通过MSN开始传播
§ 更新蠕虫
§ 下载并运行任意文件
§ 获取系统信息 (CPU, 内存, 操作系统, 驱动器)
§ Flood 目标系统(通过ping,HTTP, UDP, TCP –拒绝服务攻击)
§ 修改用户的IE主页(通过修改注册表:HKCU\Software\Microsoft\Internet Explorer\Main\Start Page)
§ 利用IE访问站点
§ 卸载蠕虫
§ 删除文件
§ 获取蠕虫版本

终止进程
蠕虫会终止以下进程:
AVGNT.EXE
AVWIN.EXE
AVWUPSRV.EXE
bbeagle.exe
ccapp.exe
ccevtmgr.exe
ccproxy.exe
ccsetmgr.exe
d3dupdate.exe
enterprise.exe
ethereal.exe
gcasdtserv.exe
gcasserv.exe
hijackthis.exe
i11r54n4.exe
irun4.exe
issvc.exe
mcagent.exe
mcdash.exe
mcinfo.exe
mcmnhdlr.exe
mcshield.exe
mcvsescn.exe
mcvsftsn.exe
mcvsrte.exe
mcvsshld.exe
mpfagent.exe
mpfservice.exe
mpftray.exe
msblast.exe
mscvb32.exe
mskagent.exe
mwincfg32.exe
navapsvc.exe
navapw32.exe
navw32.exe
npfmntor.exe
outpost.exe
pandaavengine.exe
pccguide.exe
pcclient.exe
pcctlcom.exe
penis32.exe
regedit.exe
smc.exe
sndsrvc.exe
spbbcsvc.exe
symlcsvc.exe
sysinfo.exe
sysmonxp.exe
taskmgr.exe
teekids.exe
tmntsrv.exe
tmpfw.exe
tmproxy.exe
usrprmpt.exe
vsmon.exe
wincfg32.exe
winsys.exe
winupd.exe
zapro.exe
zlclient.exe


停止服务
蠕虫会停止很多在系统启动时运行的防病毒和防火墙软件,通过删除"HKLM\Software\Microsoft\Windows\CurrentVersion\Run"位置的以下列出的键值:
CleanUp
VirusScan Online
VSOCheckTask
ccApp
MCAgentExe
MCUpdateExe
Symantec NetDriver Monitor
SmcService
Outpost Firewall
gcasServ
pccguide.exe
KAVPersonal50
Zone Labs Client

如果以下服务在系统中运行,蠕虫会停止它们并使之失效:
wscsvc
SharedAccess
netsh.exe
srservice
kavsvc
mcupdmgr.exe
McShield
MCVSRte
MpfService
GuardDogEXE
ISSVC
navapsvc
Symantec Core LC
ccEvtMgr
SNDSrvc
ccProxy
ccPwdSvc
ccSetMgr
SPBBCSvc
SAVScan
SBService
SmcService
OutpostFirewall
vsmon
CAISafe
PcCtlCom
tmproxy
Tmntsrv

蠕虫还会破坏标题中包含以下文本的窗口:
services
microsoft antispyware
hijackthis


修改Hosts文件
Hosts文件包含IP地址和主机名的映射。Windows在查询DNS之前需要检查Hosts文件。在windowsXP,2000,NT中hosts文件位于%System%\drivers\etc\hosts;在windows9x中hosts文件位于%Windows%\hosts。

蠕虫修改hosts文件,将以下站点改为local host,可以有效的阻止用户的访问:
avp.com
 http://www.avp.com/
ca.com
dispatch.mcafee.com
download.mcafee.com
f-secure.com
fastclick.net
 ftp://ftp.f-secure.com/
ftp://ftp.sophos.com/
liveupdate.symantec.com
customer.symantec.com
rads.mcafee.com
mast.mcafee.com
mcafee.com
my-etrust.com
nai.com
networkassociates.com
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
support.microsoft.com
symantec.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.com
 http://www.viruslist.com/
http://www.awaps.net/
http://www.ca.com/
http://www.f-secure.com/
http://www.fastclick.net/
http://www.mcafee.com/
http://www.microsoft.com/
http://www.my-etrust.com/
http://www.nai.com/
http://www.networkassociates.com/
http://www.sophos.com/
http://www.symantec.com/
www3.ca.com
 http://www.grisoft.com/
grisoft.com
housecall.trendmicro.com
trendmicro.com
 http://www.trendmicro.com/
http://www.pandasoftware.com/
pandasoftware.com
kaspersky.com
 http://www.kaspersky.com/
http://www.zonelabs.com/
zonelabs.com
antivir.com
antivir.de
 http://www.spywareinfo.com/
spywareinfo.com
 http://www.merijn.org/
merijn.org


修改系统设置
蠕虫阻止被感染用户关机或重启系统,同时显示以下信息框:
 

posted on 2006-06-19 18:38 alexchen 阅读(908) 评论(2)  编辑 收藏 引用 所属分类: 病毒/木马

Feedback

# re: MSN传播的病毒Win32.Nochod.I 2010-08-29 21:17 DelgadoMolly19
Have no enough money to buy a car? Don't worry, just because that is possible to take the <a href="http://bestfinance-blog.com">loans</a> to work out all the problems. So get a secured loan to buy all you need.   回复  更多评论
  

# re: MSN传播的病毒Win32.Nochod.I 2010-09-04 16:14 buy essay
Your knowledge is useful, but there’re many arguments to buy the custom write from the how to buy an essay service. That can give people an advantage to have A+!   回复  更多评论
  

只有注册用户登录后才能发表评论。