[services.exe]系统进程及相关病毒分析


来源:IT.com.cn(IT世界网)   作者:   日期: 2007-10-04



  [services.exe]究竟谁“伪装”成我了?

  一、病毒简介

  中文名:SCO炸弹变种N
  英文名: Worm.Novarg.N
  别    名: Worm.Mydoom.m
  病毒类型: 蠕虫病毒
  传播途径: 邮件
  依赖系统: Windows 9X/NT/2000/XP

  二、病毒的破坏

  1. 通过电子邮件传播的蠕虫病毒,感染之后,它会先在用户本地机器上搜索电子邮件地址,向其发送病毒邮件;

  2. 利用在本机上搜索到的邮件地址的后缀当关键词,在Google、Yahoo等四个搜索引擎上搜索相关的email地址,发送病毒邮件传播自身。

  3. 大量发送的搜索请求使这四个搜索引擎的运行速度明显变慢。

  4. 感染了此病毒的机器,IE浏览器、OE软件和Outlook软件都不能正常使用。

  5. 病毒大量向外发送病毒邮件,严重消耗网络资源,可能造成局域网堵塞。

  三、技术分析

  1. 蠕虫病毒,采用Upx压缩。运行后,将自己复制到%WINDOWS%目录下,文件名为:java.exe。释放一个后门病毒在同一目录中,文件名为:services.exe。

  2. 在注册表启动项“CurrentVersionRun”下加入这两个文件的启动键值:JavaVM和Service,实现病毒的开机自启动。

  3. 强行关闭IE浏览器、OE软件和Outlook软件,使其不能正常使用。

  4. 在本地机器上搜索电子邮件地址:从注册表中读取当前系统当前使用的wab文件名,并在其中搜索email地址;搜索internet临时目录 (Local SettingsTemporary Internet Files)中的文件,从中提取电子邮件地址;遍历盘符从C:盘到Z:的所有硬盘,并尝试从以下扩展名文件中提取email地址:.adb ,.asp ,.dbx ,.htm ,.php ,.pl ,.sht ,.tbb ,.txt ,.wab。

  5. 当病毒搜索到email地址以后,病毒以“mailto+%本地系统搜出的邮件地址%”、“reply+%本地系统搜出的邮件地址%”、 “{|contact+| |e| |-| |mail}+%本地系统搜出的邮件地址%”为关键字,利用以下四种搜索引擎进行email地址邮件搜索:search.lycos.com、 search.yahoo.com、www.altavista.com、www.google.com,利用这种手段,病毒能够搜索到非常多的可用邮件 地址。

  6. 病毒邮件的附件名称为:readme ,instruction ,transcript ,mail ,letter ,file ,text ,attachment等,病毒附件扩展名为:cmd ,bat ,com ,exe ,pif ,scr ,zip。

  四、手动清除方法

  (1)结束系统中进程名为:Services.exe和java.exe(在%windows%目录中)
  (2)删除系统临时目录中的两个病毒数据文件:MLITGB.LOG和ZINCITE.LOG
  (3)删除病毒键立的注册表键:
  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
  “JavaVM”=%WINDOWS%java.exe
  和HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
  “Services”=%WINDOWS%Services.exe

  注: %WINDIR%指的是Windows系统的安装目录,在Windows 95/98/ME/XP操作系统下默认为:C:WINDOWS目录,在WINDOWS2000操作系统下默认为:C:WINNT目录。

文章导航: [services.exe]系统进程分析 [services.exe]究竟谁“伪装”成我了?