zoukankan      html  css  js  c++  java
  • Win32.Dfcsvc.A

    病毒名:Win32.Dfcsvc.A
    别名:W32/Dfcsvc.worm.b (McAfee),
    Win32/Dfcsvc.A.Worm,
    Worm.Win32.Anig.b (Kaspersky),
    WORM_ANIG.A (Trend)
    种类:win32
    类别:蠕虫
    传播性:低
    破坏性:中
    普及性:中

    特性:
    Win32.Dfcsvc.A,通过WINDOWS共享传播。它含有一个用做系统登录的DLL文件,用以获取用户的登录密码。

    感染方式:
    Dfcsvc.A,把它自己作为一个服务来安装,并且修改注册值。它在这些本地和远程目标系统上都安装。

    服务建立这些值:
    服务名:dfcsvc
    显示名:distributed File Controller
    描述:无
    执行路径:(文件名)/dfcsvc
    开始方式:自动

    当感染了一个远程注册表,它添加这些值:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Osa32 = "(filename)"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Ram32Data
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Ram32ID
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Ram32Group
    第一个值使它在每次WINDOWS启动时也运行。
    如果它能拷贝”ntgina.dll”,它通常修改这个值:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDll = "ntgina.dll"

    这个动作的作用是将病毒文件替换用于系统登录时使用的 “msgina.dll” 文件。

    传播方式:
    通过网络共享

    Win32.Dfcsvc.A列出网络上的资源,在每个被找到的共享上,它尝试把自己拷贝到:
    \\(remote system)\ADMIN$\SYSTEM32\(filename)

    名字是最初运行时的名字。一个例子就是它叫:”NTOSA32.EXE”

    蠕虫尝试把它自己装到目标系统上。它不尝试猜密码,所以它只能传染到使用本地administrator管理员帐号登录的机器。

    另外,蠕虫还有时候在同一个目录里查找 ”ntgina.dll” 文件,如果ntgina.dll文件没有或者被删除,蠕虫将重新传递此文件。

    有效功能:
    当蠕虫安装完成后,“ntgina.dll”执行登陆。病毒将记录按键以及登录窗口的标题并生成一个文件放在:%Windows%\SYSTEM32\NTKBH32.dll
    提示:’%windows%’是一个可变地址。蠕虫通过当前文件夹的操作系统来决定位置。WIN2000和NT的默认文件夹是c:\winnt;95/98和ME的是c:\windows,XP的是c:\windows

    蠕虫通过5190端口和外部连接,可能发送捕获数据到一个恶意用户。
    蠕虫通常监听通过5190端口进入的数据,作为系统的一个后门。

    检测/清除:
    KILL安全胄甲 v 23.63.85 (Inoculan IT 引擎) v 11.2x/8117(vet引擎)、KILL98/2000 45.85 可检测/清除此病毒。

  • 相关阅读:
    IsBadReadPtr|IsBadWritePtr调试崩溃
    VSCode配置python调试环境
    Visual Studio Code 如何编写运行 C、C++ 程序?
    使用nginx做反向代理
    Win10环境下配置VScode的C++编译环境
    关于java 获取 html select标签 下拉框 option 文本内容 隐藏域
    【VSCode】Windows下VSCode编译调试c/c++【更新 2018.03.27】
    VS Code 配置 C/C++ 环境
    改变你一生的编辑器:VSCode使用总结
    CentOS7,安装Tomcat8.5、JDK1.8,并设置开机启动(Linux CentOS Tomcat、JDK+Tomcat、Tomcat开机自启动)
  • 原文地址:https://www.cnblogs.com/ahuo/p/625469.html
Copyright © 2011-2022 走看看