[原创]mravsc32.exe简单分析(魔波病毒)

[size=3][font=宋体]文件名称：[/font][font=Times New Roman]mravsc32.exe[/font][/size]
[font=Times New Roman][size=3][/size] [size=3][/size]
[/font]
[size=3][/size]

[size=3][/size]
[size=3][/size]
[size=3][font=宋体]文件大小：[/font][font=Times New Roman]432640 byte[/font][/size]
[font=Times New Roman][size=3][/size] [size=3][/size]
[/font]
[size=3][/size]

[size=3][/size]
[size=3][/size]
[size=3][font=Times New Roman]AV[/font][font=宋体]命名：[/font][/size]
[font=Times New Roman][size=3][/size] [size=3][/size]
[/font]
[size=3][/size]

[size=3][/size]
[size=3][/size]
[size=3][font=Times New Roman]Net-Worm.Win32.Kolabc.bh [/font][font=宋体]卡巴斯基[/font][/size]
[size=3][font=Times New Roman]Backdoor.Win32.SdBot.qqv [/font][font=宋体]瑞星[/font][/size]
[size=3][font=Times New Roman]Worm.Kolabc.bh.432640 [/font][font=宋体]金山[/font][/size]
[font=Times New Roman][size=3][/size] [size=3][/size]
[/font]
[size=3][/size]

[size=3][/size]
[size=3][/size]
[font=宋体][size=3]中文别名：魔波[/size][/font]
[font=Times New Roman][size=3][/size] [size=3][/size]
[/font]
[size=3][/size]

[size=3][/size]
[size=3][/size]
[size=3][font=宋体]加壳方式：[/font][font=Times New Roman]Themida[/font][/size]
[font=Times New Roman][size=3][/size] [size=3][/size]
[/font]
[size=3][/size]

[size=3][/size]
[size=3][/size]
[size=3][font=宋体]编写语言：[/font][font=Times New Roman]VC[/font][/size]
[font=Times New Roman][size=3][/size] [size=3][/size]
[/font]
[size=3][/size]

[size=3][/size]
[size=3][/size]
[size=3][font=宋体]文件[/font][font=Times New Roman]MD5[/font][font=宋体]：[/font][font=Times New Roman]2519747f844d319ab78b67b6e7d223a4[/font][/size]
[font=Times New Roman][size=3][/size] [size=3][/size]
[/font]
[size=3][/size]

[size=3][/size]
[size=3][/size]
[font=宋体][size=3]行为分析：[/size][/font]
[font=Times New Roman][size=3][/size] [size=3][/size]
[/font]
[size=3][/size]

[size=3][/size]
[size=3][/size]
[size=3][font=Times New Roman]1、
[/font][font=宋体]释放病毒文件：[/font][/size]
[font=Times New Roman][size=3][/size] [size=3][/size]
[/font]
[size=3][/size]

[size=3][/size]
[size=3][/size]
[size=3][font=Times New Roman]C:\WINDOWS\system32\dllcache\mravsc32.exe
432640[/font][font=宋体]字节[/font][/size]
[font=Times New Roman][size=3][/size] [size=3][/size]
[/font]
[size=3][/size]

[size=3][/size]
[size=3][/size]
[size=3][font=Times New Roman]2、
[/font][font=宋体]注册系统服务，开机启动。[/font][/size]
[font=Times New Roman][size=3][/size] [size=3][/size]
[/font]
[size=3][/size]

[size=3][/size]
[size=3][/size]
[size=3][font=宋体]服务名称：[/font][font=Times New Roman]Distributed Allocated Memory Unit[/font][/size]
[font=Times New Roman][size=3][/size] [size=3][/size]
[/font]
[size=3][/size]

[size=3][/size]
[size=3][/size]
[size=3][font=Times New Roman]3、
[/font][font=宋体]修改注册表，禁用系统安全中心、防火墙、信使、[/font][font=Times New Roman]ICS[/font][font=宋体]等服务。[/font][/size]
[font=Times New Roman][size=3][/size] [size=3][/size]
[/font]
[size=3][/size]

[size=3][/size]
[size=3][/size]
[size=3][font=Times New Roman]4、
[/font][font=宋体]连接[/font][font=Times New Roman]IRC[/font][font=宋体]服务器：[/font][font=Times New Roman]XXX.58871.com[/font][font=宋体]，允许对服务器命令做出响应。[/font][/size]
[size=3]
[/size]
[size=3]
[/size]
[size=3][font=宋体]5、开启一个网络线程，对特定网段进行139和445端口扫描[/font][/size]
[font=Times New Roman][size=3][/size][/font]
[font=宋体][size=10.5pt][font=宋体][size=10.5pt][size=3]可能会因此传播该病毒。[/size][/size][/font][/size][/font]
[font=宋体][size=10.5pt][font=宋体][size=10.5pt][size=3]6、尝试结束一些其他的病毒进程：[/size][/size][/font][/size][/font]
[font=宋体][size=10.5pt][font=宋体][size=10.5pt][size=3]i11r54n4.exe
rate.exe
winsys.exe
irun4.exe
bbeagle.exe
d3dupdate.exe
teekids.exe
Penis32.exe
MSBLAST.exe
PandaAVEngine.exe
PandaAVEngine
taskmon.exe
mscvb32.exe
ssate.exe[/size][/size][/font][/size][/font]
[font=宋体][size=10.5pt][font=宋体][size=10.5pt][size=3]..................[/size][/size][/font][/size][/font]
[font=宋体][size=10.5pt][font=宋体][size=10.5pt][size=3]7、当自身被结束时，由服务重新启动。[/size][/size][/font][/size][/font]
[font=宋体][size=10.5pt][font=宋体][size=10.5pt][size=3]解决方法：[/size][/size][/font][/size][/font]
[font=宋体][size=10.5pt][font=宋体][size=10.5pt][size=3]1、下载SREng。[/size][/size][/font][/size][/font]
[font=宋体][size=10.5pt][font=宋体][size=10.5pt][url=http://www.kingzoo.com/tools/][size=3][color=#0000ff]http://www.kingzoo.com/tools/[/color][/size][/url][size=3]孤独更可靠/sreng2.5.zip[/size][/size][/font][/size][/font]
[font=宋体][size=10.5pt][font=宋体][size=10.5pt][size=3]删除[font=Times New Roman]Distributed Allocated Memory Unit服务。[/font][/size][/size][/font][/size][/font]
[font=宋体][size=10.5pt][font=宋体][size=10.5pt][font=Times New Roman][size=3]2、结束[font=Times New Roman]mravsc32.exe进程。[/font][/size][/font][/size][/font][/size][/font]
[font=宋体][size=10.5pt][font=宋体][size=10.5pt][font=Times New Roman][size=3]3、删除文件：[/size][/font][/size][/font][/size][/font]
[font=宋体][size=10.5pt][font=宋体][size=10.5pt][font=Times New Roman][size=3][/size][font=Times New Roman][size=3][/size]
[/font]
[size=3][/size]

[size=3][/size]
[size=3][/size]
[size=3][font=Times New Roman]C:\WINDOWS\system32\dllcache\mravsc32.exe
432640[/font][font=宋体]字节[/font][/size]

[size=3][/size]

[size=3][img]http://bbs.dehua.net/UPLOADFILE/2008-1/20081302053568496.jpg[/img][/size]
[size=3][/size]
[img]http://bbs.dehua.net/UPLOADFILE/2008-1/20081302055031752.jpg[/img]
[/font][/size][/font][/size][/font]