Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:Worm/Leave.AQ
发现日期:13/12/2012
类型:蠕虫
广泛传播:
病毒传播个案呈报:低程度至中程度
感染/传播能力:中等程度至高程度
破坏 / 损害程度:中等程度
静态文件:
文件大小:51.285 字节
MD5 校检和:ea3c9aaab2319f66f491e1c9185669da
VDF 版本:7.11.53.216 - 2012년 12월 13일 목요일
IVDF 版本:7.11.53.216 - 2012년 12월 13일 목요일

 况概描述 传播方法:
   • 视窗自动运行Autorun功能
   • 感染文件


别名:
   •  Mcafee: W32/Ramnit
   •  Kaspersky: Worm.Win32.Leave.aq
   •  Sophos: Mal/FakeAV-BT
   •  Bitdefender: Win32.Ramnit.D
   •  Panda: W32/Ramnit.B.drp
   •  GData: Win32.Ramnit.D


平台/操作系统:
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用:
   • 植入恶意文件
   • 感染文件
   • 注册表修改

 文件 它将本身复制到以下位置:
   • %PROGRAM FILES%\Microsoft\DesktopLayer.exe
   • %驱动器%\RECYCLER\autorun.exe



创建以下文件:

%驱动器%\autorun.inf 这是一个无恶意的文本文件,包含以下内容:
   • %运行恶意软件代码%

– %PROGRAM FILES%\Internet Explorer\dmlconf.dat



它会尝试执行以下文件:

– 文件名:
   • %PROGRAM FILES%\Microsoft\DesktopLayer.exe


– 文件名:
   • %PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE

 注册表 会更改以下注册表项:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   新值:
   • "Userinit"="%SYSDIR%\userinit.exe,,%PROGRAM FILES%\microsoft\desktoplayer.exe"

 文件感染 感染器类型:

附加器 - 病毒的主要代码添加在受感染文件的尾端。
– 在受感染的文件中添加了以下部分(Section):
   • .rmnet


隐蔽病毒:
未使用隐蔽技术。 它修改受感染文件的 OEP (原始入口 Original Entry Point),使其指向病毒代码。


方法:

此直接操作感染器会主动搜索文件。


以下文件已被感染:

按文件类型:
   • html (+103052) -> HTML/Drop.Agent.AB
   • exe (+52736) -> W32/Ramnit.A
   • dll (+52736) -> W32/Ramnit.A

 后门程序 访问服务器:
以下内容:
   • zah**********.name:443 (TCP)


 注入进程 – 它会将其本身作为远程线程注入到进程中。

    进程名:
   • iexplore.exe


 其他  通过访问以下网站来检查 Internet 连接:
   • google.com:80
   • bing.com:80
   • yahoo.com:80


Mutex:
它会创建以下 Mutex:
   • KyUffThOkYwRRtgPP

 文件详细信息 运行时压缩程序:
为了提高检测难度以及减小文件,它已使用运行时压缩程序进行压缩。

설명 삽입자 Petre Galan   2011년 4월 7일 목요일
설명 업데이트 Petre Galan   2011년 4월 7일 목요일

뒤로 . . . .
https:// 이 창은 보안을 위해 암호화되었습니다.