Worm:Win32/Rebhip

显示全部楼层 · 发表于 2014-8-24 01:32:39

Worm:Win32/Rebhip是一种蠕虫，通过可移动驱动器传播，并尝试从受影响的计算机窃取敏感信息。

以下部分内容由Bing机器翻译：

安装在执行时，Worm:Win32/Rebhip将自身复制到变量中的 < system folder > 目录，子目录和修改注册表，使执行其文件在每次 Windows 启动。
注： < system folder > 指的由恶意软件通过查询操作系统来确定变量的位置。Windows 2000 和 NT 的系统文件夹的默认安装位置是 C:\Winnt\System32 ；而对于 XP、 Vista 和 7 是 C:\Windows\System32。
以下是常用的子目录：

adobe
booter
chrome
cmd
conf.exe
ctfmon
dllcache
dllinstall
dlll32.exe
driver
drivers
dxvi
dynamicpkz
explorer
gameshadow
google
hosts
idss.dll
ins
install
instjs
java
messenger
micro-soft
microsoftupdater
msn
perfmonitor
root
rundll32
sms

spynet
spynet54
svchost
svhost
symantec
sys
sys32
sysetm
system
system32
tek9
update
update_flash
v1rus
win
win32
winboot
winbooterr
windiiir
windir
windll
windows
windowsdefender
windowsupdate
windr
windupdt
winlog
winlogon
winreg
winupdate

常用的文件的名称包括以下内容：

2.exe
adinss.exe
atp.exe
chrome.exe
comddl1.exe
conf.exe
crisys2.exe
crossfire.wallhack.exe
cs.exe
ctfmon.exe
ddl.exe
diagnose.exe
dll.exe
dll32.exe
dss.exe
dynamicpkz.exe
epicbot.exe
esplorer.exe
explore.exe
explorer.exe
flash.exe
gamer.exe
hosts.exe
iexplorer.exe
iiexplorer.exe
ijavaupdate.exe
install.exe
intall.exe
ipdate.exe
javaru.exe
javascheds.exe
jvclient.exe
kaspersky.exe
kb321009.exe
keygen.exe
khaled.exe
lilly.exe
mensssenger.exe
microsoftupdate.exe
microupdate.exe
msconcat.exe
msn.exe
msnd.exe
msnmsgr.exe
netsniper.exe
perfmon.exe
photo.exe
piccc.exe
player.exe
registry.exe

rundll32.exe
runescapekeylogger.exe
scvhost.exe
server.exe
servertest.exe
serves.exe
service.exe
servis.exe
setting.exe
setup.exe
skype.exe
smss.exe
soft.exe
spoolsvs.exe
svchost.exe
svchost22.exe
svchosts.exe
svchust.exe
svhost.exe
svhost32update.exe
sysstem32.exe
system..exe
system.exe
system32.exe
systema.exe
systemconfig.exe
systemresh.exe
testing.exe
troublekeylogger.exe
update.exe
updater.exe
win.exe
win32.exe
win_xp.exe
winampagent.exe
wincy.exe
windll.exe
windows.exe
windowsdefender.exe
windowsup.exe
windowsupdate.exe
winexplorer.exe
winlog-updates.exe
winlogin.exe
winlogon.exe
winnload.exe
winserver.exe
winupdate.exe
wlcomm.exe

应指出的是该蠕虫是可配置的并因此可能有的任何名称。
该蠕虫病毒会修改下面的注册表项，以确保它的副本将在每次 Windows 启动执行：
子项中：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Sets value: <value>
With data: <worm location>

where <value> is variable.

通常，Worm:Win32/Rebhip可能还打开多个进程，其中包括explorer.exe，并将代码插入到它。

通过可移动驱动器传播......
Worm:Win32/Rebhip通过将自身复制到所有可访问的可移动驱动器传播，使用的变量的名称，包括但不限于以下：

task.exe
system.exe
winbackup.exe
windows.exe
update.exe

该蠕虫病毒然后写入名为"autorun.inf"指向蠕虫副本自动运行配置文件。驱动器访问时从一台计算机支持自动运行功能，将自动启动该蠕虫病毒。
有效载荷窃取敏感数据
Worm:Win32/Rebhip可能会收集各种有关系统的信息，
例如，详细介绍了各种安全软件安装在系统上，
和当前正在运行的进程或服务。
它还可能会记录击键和尝试收集的密码。
Worm:Win32/Rebhip将其收集到的数据发送到各种远程主机。
例如，观察到有一个变量与sly.fcuked.me.uk 联系为此目的。

附加信息Worm:Win32/Rebhip通常使用以下互斥锁：

_x_X_UPDATE_X_x_
_x_X_PASSWORDLIST_X_x_
_x_X_BLOCKMOUSE_X_x_

Analysis by Matt McCormack Change log for version 1.183.209.0

显示全部楼层 · 发表于 2014-8-24 08:04:30

昨天我跑去看Symantec特征库的更新日志，发现真的没有MMPC的日志好玩，Microsoft Malware Protection Center的日志花样可多了，哈哈

显示全部楼层 · 发表于 2014-8-24 11:44:59

驭龙发表于 2014-8-24 08:04
昨天我跑去看Symantec特征库的更新日志，发现真的没有MMPC的日志好玩，Microsoft Malware Protection Cente ...

弄个铁克的日志看看

显示全部楼层 · 发表于 2014-8-24 12:07:08

ELOHIM 发表于 2014-8-24 11:44
弄个铁克的日志看看

这里是MSE区，你懂得，我只能PM你了

[新手上路] Worm:Win32/Rebhip