Worm.Win32.Skipi.b蠕虫病毒样本分析
作者: 晓兵, 出处:IT专家网, 责任编辑: 张帅,
2007-11-14 09:44
Worm.Win32.Skipi.b蠕虫类病毒,实际为一个扩展名是scr图标伪装成JPG图标的可执行文件,运行后会在系统文件夹下衍生4个病毒副本,通过Skype传播,修改主机host文件,屏蔽安全软件网站……
【IT专家网独家】一、病毒标签:
病毒名称: Worm.Win32.Skipi.b
病毒类型: 蠕虫
文件MD5: 9fc5fad65fb0dae7b5370607d103aa80
公开范围: 完全公开
危害等级: 5
文件长度: 188,416字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 7.0
加壳类型: 无壳
二、病毒描述:
该病毒为蠕虫类,实际为一个扩展名是scr图标伪装成JPG图标的可执行文件;运行后会在系统文件夹下衍生4个病毒副本,并打开系统文件夹下的Soap Bubbles.bmp图片;通过Skype软件发送诱惑消息传播;修改主机host文件,屏蔽安全软件相关网站
三、行为分析:
本地行为:
1、文件运行后会释放以下文件
| %system32%\wndrivs32.exe 188,416字节 %system32%\mshtmldat32.exe 188,416字节 %system32%\sdrivew32.exe 188,416字节 %system32%\winlgcvers.exe 188,416字节 |
2、新增注册表
添加以下注册表实现开机自启动
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run |
注册表值:"Policies Options"
类型:REG_SZ
| HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce |
注册表值:"Services Start"
类型:REG_SZ
值:mshtmldat32.exe
- 本文关键词:
