病毒名:Win32.Dfcsvc.A
别名:W32/Dfcsvc.worm.b (McAfee),
Win32/Dfcsvc.A.Worm,
Worm.Win32.Anig.b (Kaspersky),
WORM_ANIG.A (Trend)
种类:win32
类别:蠕虫
传播性:低
破坏性:中
普及性:中
特性:
Win32.Dfcsvc.A,通过WINDOWS共享传播。它含有一个用做系统登录的DLL文件,用以获取用户的登录密码。
感染方式:
Dfcsvc.A,把它自己作为一个服务来安装,并且修改注册值。它在这些本地和远程目标系统上都安装。
服务建立这些值:
服务名:dfcsvc
显示名:distributed File Controller
描述:无
执行路径:(文件名)/dfcsvc
开始方式:自动
当感染了一个远程注册表,它添加这些值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Osa32 = "(filename)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Ram32Data
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Ram32ID
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Ram32Group
第一个值使它在每次WINDOWS启动时也运行。
如果它能拷贝”ntgina.dll”,它通常修改这个值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDll = "ntgina.dll"
这个动作的作用是将病毒文件替换用于系统登录时使用的 “msgina.dll” 文件。
传播方式:
通过网络共享
Win32.Dfcsvc.A列出网络上的资源,在每个被找到的共享上,它尝试把自己拷贝到:
\\(remote system)\ADMIN$\SYSTEM32\(filename)
名字是最初运行时的名字。一个例子就是它叫:”NTOSA32.EXE”
蠕虫尝试把它自己装到目标系统上。它不尝试猜密码,所以它只能传染到使用本地administrator管理员帐号登录的机器。
另外,蠕虫还有时候在同一个目录里查找 ”ntgina.dll” 文件,如果ntgina.dll文件没有或者被删除,蠕虫将重新传递此文件。
有效功能:
当蠕虫安装完成后,“ntgina.dll”执行登陆。病毒将记录按键以及登录窗口的标题并生成一个文件放在:%Windows%\SYSTEM32\NTKBH32.dll
提示:’%windows%’是一个可变地址。蠕虫通过当前文件夹的操作系统来决定位置。WIN2000和NT的默认文件夹是c:\winnt;95/98和ME的是c:\windows,XP的是c:\windows
蠕虫通过5190端口和外部连接,可能发送捕获数据到一个恶意用户。
蠕虫通常监听通过5190端口进入的数据,作为系统的一个后门。
检测/清除:
KILL安全胄甲 v 23.63.85 (Inoculan IT 引擎) v 11.2x/8117(vet引擎)、KILL98/2000 45.85 可检测/清除此病毒。