这是一个32位病毒,使用UPX加壳,病毒长度为33,920 字节。病毒隐藏在 System32
目录下,文件名随即变化。当病毒感染新的系统时,将会把自己写入 %random%.exe 文件,这里 %random%
是十个字母组成的随机字符串。
当病毒首次运行时,将试图连接 Web 服务器 'www3.simpatico.ca' ,然后下载一个名为 "Dsmsn.exe"
的文件。下载完毕后会调用运行它。该文件是由两个文件打包合并而成 -
- 一个 W32/Ranky.AP-tr 代理木马程序
- 一个 W32/SDBot.RT-net 的更新版本
两者都会被运行,并且会跟随系统下次启动而自动加载。自动加载设置会更改系统注册表如下 -
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"ffeqfqs" = dqddss.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"ffeqfqs" = dqddss.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
"ffeqfqs" = dqddss.exe
The virus installs a remote access Trojan component known as Ranky. This
component is also registered to run at each Windows startup -
HKEY_CURRENT_USER\Software\WinRAR SFX
"C%%WINNT%SYSTEM32%" = C:\WINNT\SYSTEM32\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"vsddsas" =
C:\winnt\system32\fqeeqfap.exe
"Ranky" 会绑定西togn TCP 端口 37607,并且等待恶意用户的连接。它还会通过 TCP 端口 80
由一个服务器端脚本发送一个通知消息,告知恶意用户最新被感染的系统信息。服务器端脚本内容如下 -
http://wowcraft.no-ip.org/public_html/a.php?37607
同时,病毒开始扫描随机 IP 的 TCP 139
端口,并试图感染目标机器。当一个可用地址被找到,病毒试图连接目标机器,然后使用自带的字典进行弱口令探测攻击系统。 |
