2007年的感染者(仿威金病毒) 使用U盘需谨慎

写的又正好是跟"熊猫烧香"一样恶心的玩意..
入正题..写分析..

运行样本..
释放文件
C:WINDOWSsystemlogo_1.exe
C:WINDOWSsystemSYSTEM32.vxd
C:WINDOWSsystemSYSTEM32.dat

每个盘根目录下生成
X:go.exe
X:autorun.inf

写入注册表
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun]
"ntaskldr"="C:WINDOWSsystemlogo_1.exe"

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
"ntaskldr"="C:WINDOWSsystemlogo_1.exe"

最恶心的部分介绍下..
logo_1.exe 运行后 调用 cmd.exe 执行命令 cmd.exe /c dir X:*.exe /s /b >>C:WINDOWSsystemSYSTEM32.vxd.dat
X为某个盘..
运行命令后感染X盘里的所有 .exe 文件...
感染后还会释放一个同名文件后辍为 .exe.tmp

system volume information
recycled
这俩个文件夹内的.exe文件..感染后释放的同名文件后辍为 .exe.dat

如果中毒的电脑打开 我的电脑 时.. logo_1.exe 会连网下载⒏个木马程序..
分别为:
C:WINDOWSsystemjwm.exe
C:WINDOWSsystemmhh.exe
C:WINDOWSsystemztd.exe
C:WINDOWSsystemmir.exe
C:WINDOWSsystemwo3.exe
C:WINDOWSsystemienet.exe
C:WINDOWSsystemwol.exe
C:WINDOWSsystemwll.exe

被感染的文件..头部写入: 19,738 字节 尾部写入:5 字节

地址=00407F80
反汇编=MOV EDX,2_.0040847C
文本字串=瑞星 卡巴 金山 诺盾 爱老虎油！！！！！！

作者留下的..
老李手记:近些日子以来.恶性病毒比较猖獗!如熊猫烧香,SXS,等!它们破坏系统,其手段极其恶劣!这是一个新迹象,值得大家注意!特别是U盘的使用!U盘成了传播恶性病毒的一大源头!

    点击下载->U盘超级工具大全(万能格式化-修复-量产-数据恢复等62种工具，一次搞定U盘问题