贝多芬op53第一乐章:什么电脑病毒可以攻击反病毒软件？

特咯一啊

会破坏文件的恶性蠕虫“Blackworm”正在流行并即将发作

发布日期：2006-01-29

受影响的软件及系统：
====================
Windows 95
Windows 98
Windows ME
Windows NT
Windows 2000
Windows XP
Windows Server 2003

综述：
======
一个通过邮件和网络共享传播的蠕虫“Blackworm”正在流行。该蠕虫会在每个月的第3天破坏磁盘上的数据文件，最近一次破坏将发生在2月3日，也就是农历正月初六。

分析：
======
“Blackworm”蠕虫（以下简称Blackworm）运行后，会释放出下列文件：

%SystemRoot%\Rundll16.exe
%SystemRoot%\System32\scanregw.exe
%SystemRoot%\System32\Winzip.exe
%SystemRoot%\System32\Update.exe
%SystemRoot%\System32\WINZIP_TMP.EXE
%SystemRoot%\System32\SAMPLE.ZIP

如果感染的系统是Windows 95、Windows 98、Windows ME，那么上面的路径“%SystemRoot%\System32”应改为“%SystemRoot%\System”。

另外，Blackworm还会将自身拷贝为一个随机的文件名或者下面这些：

movies.exe
New WinZip File.exe
Zipped Files.exe

为了让自身能随系统的启动而运行，Blackworm会在注册表的自启动项增加键值：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
ScanRegistry = "scanregw.exe /scan"

为了对抗反病毒软件，Blackworm还会在下列注册表自启动项中删除流行的反病毒软件所使用的键值：

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

这些键值包括：

APVXDWIN、avast!、AVG7_CC、AVG7_EMC、AVG7_Run、AVG_CC、Avgserv9.exe、BearShare、defwatch、DownloadAccelerator、kaspersky、KAVPersonal50、McAfeeVirusScanService、NAV、Agent、OfficeScanNT、Monitor、PCCClient.exe、pccguide.exe、PCCIOMON.exe、PccPfw、Pop3trap.exe、rtvscn95、ScanInicio、SSDPSRV、TM、Outbreak、Agent、tmproxy、Vet、Alert、VetTray、vptray

另外，Blackworm还会在程序文件夹中搜索这些反病毒软件的目录，并删除其中的EXE和DLL文件：

%ProgramFiles%\Alwil Software\Avast4
%ProgramFiles%\BearShare
%ProgramFiles%\DAP
%ProgramFiles%\Grisoft\AVG7
%ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal
%ProgramFiles%\McAfee.com\Agent
%ProgramFiles%\McAfee.com\shared
%ProgramFiles%\McAfee.com\VSO
%ProgramFiles%\Morpheus
%ProgramFiles%\NavNT
%ProgramFiles%\Norton AntiVirus
%ProgramFiles%\Symantec\Common Files\Symantec Shared
%ProgramFiles%\Symantec\LiveUpdate
%ProgramFiles%\Trend Micro\Internet Security
%ProgramFiles%\Trend Micro\OfficeScan
%ProgramFiles%\Trend Micro\OfficeScan Client
%ProgramFiles%\Trend Micro\PC-cillin 2002
%ProgramFiles%\Trend Micro\PC-cillin 2003

Blackworm还会查询下面这些注册表键值，获取程序的安装目录，然后删除其中的EXE和DLL文件：

[HKEY_LOCAL_MACHINE\Software\INTEL\LANDesk\VirusProtect6\CurrentVersion]
[HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\InstalledApps]
[HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\101]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Panda Antivirus 6.0 Platinum]
[HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe]

Blackworm会关闭所有标题包含下面这些字串的窗口：

SYMANTEC、SCAN、KASPERSKY、VIRUS、MCAFEE、TREND MICRO、NORTON、REMOVAL、FIX

Blackworm可以通过邮件和网络共享两种方式传播自身。

Blackworm会在系统中搜索包含“CONTENT.”和“TEMPORARY”的文件和下面这些扩展名的文件，从其中寻找邮件地址：

HTM、DBX、EML、MSG、OFT、NWS、VCF、MBX、IMH、TXT、MSF

然后向这些邮件地址发送自身。邮件主题可能是这些：

*Hot Movie*
A Great Video
Fw:
Fw: DSC-00465.jpg
Fw: Funny :)
Fw: Picturs
Fw: Real show
Fw: SeX.mpg
Fw: Sexy
Fwd: Crazy illegal Sex!
Fwd: image.jpg
Fwd: Photo
give me a kiss
Miss Lebanon 2006
My photos
Part 1 of 6 Video clipe
Photos
Re:
School girl fantasies gone bad

蠕虫本身将作为编码后的附件被发送。

Blackworm还会在网络中搜索共享文件夹和口令薄弱的系统，一旦找到有写权限的“ADMIN$”和“C$”共享，就会将自身以“WINZIP_TMP.EXE”的文件名复制过去。并通过Windows的“Task Scheduler”服务来远程运行拷贝过去的蠕虫。同时，Blackworm也会尝试通过访问网络共享来删除远程机器上的反病毒软件。

Blackworm会在每个月的第3天破坏磁盘上下列扩展名的文件：

DOC、XLS、MDE、MDB、PPT、PPS、RAR、PDF、PSD、DMP、ZIP

在其中写入垃圾数据：“DATA Error [47 0F 94 93 F4 K5]”。

解决方法：
==========
一些反病毒软件厂商提供了针对该蠕虫的专杀工具，可以使用这些专杀工具来清除蠕虫：
http://www.symantec.com/region/cn/techsupp/avcenter/venc/data/cn-w32.blackmal.b@mm.removal.tool.html