smsc.exe 病毒分析报告

2024年2月26日发(作者：)

“混合蠕虫”—— 病毒分析报告

该病毒是一个多功能的复杂混合型蠕虫病毒，具有极强的攻击能力和破坏能力。它会利用微软当前所有严重漏洞进行恶意攻击和传播，盗取目前流行游戏的安装序列号(CDKEY)，打开系统后门，发起DoS攻击。由于该病毒是一个测试版本，预计今后几天会出现破坏力更强的新病毒变种。

一、病毒评估

病毒名称: .a

中文名称:混合蠕虫

病毒别名:

.a[AVP]

.a [瑞星]

病毒类型:后门，蠕虫

受影响系统:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003

病毒大小：303,616字节

病毒危险等级：★★★☆

病毒传播途径：网络

二、病毒的破坏

此病毒运行后会结束用户本机的反病毒软件程序，窃取电脑用户的游戏CDKEY，同时利用众多微软漏洞进行恶意攻击和传播，会造成系统异常和网络拥塞，具有极强的攻击性和破坏性。

三、病毒报告

这是一个通过微软的RPC DCOM等漏洞和IPC弱口令传播的病毒

病毒采用UPX压缩，是由VC++编译

一旦执行，病毒将执行如下操作：

1.复制自己到系统目录：

%SYSDIR%

2.修改注册表已自启动，相应键值为：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

"Win32 USB 2 Driver" = ""

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce

"Win32 USB 2 Driver" = ""

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

"Win32 USB 2 Driver" = ""

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

"Win32 USB 2 Driver" = ""

病毒还将创建一个服务：Win32 USB 2 Driver

3.病毒同时是一个IRC后门，将与某个IRC服务器连接后通过IRC聊天服务即可控制本地中毒机器。命令包括改变昵称、改变频道、执行文件、显示版本等其它IRC后门功能。

4.病毒使用下列最新微软严重漏洞进行传播：

MS04-011(LSASS漏洞)

MS03-026(RPC/DCOM漏洞)

MS03-001(RPC Locator 漏洞)

MS03-007(IIS/WebDAV 漏洞)

5.病毒能够进行下列DoS攻击：

HTTP flood

Ping flood

SYN flood

UPD flood

病毒会对如下网站进行DoS攻击

6.病毒能够盗取大量软件的CD KEY：

Battlefield 1942

Black and White

Call of Duty

Command and Conquer Generals

Command and Conquer Generals Zero Hour

Command and Conquer Red Alert 2

Command and Conquer Tiberian Sun

7.病毒会终止如下反病毒软件的执行：

_

_

四、手动清除

1.打开任务管理器，终止进程：

2.打开注册表编辑器，删除下列值：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

"Win32 USB 2 Driver" = ""

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce

"Win32 USB 2 Driver" = ""

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

"Win32 USB 2 Driver" = ""

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

"Win32 USB 2 Driver" = ""

3.到系统目录下删除文件：即可

注:%WINDIR%是Windows系统的核心动态库所在目录，在Windows 9X/ME下默认为:C:WINDOWS,Windows 2000/XP下默认为:C:WINNT。

%SYSTEM%是Windows系统的核心动态库所在目录，在Windows 9X/ME下默认为:C:WINDOWSSYSTEM,Windows 2000/XP下默认为:C:WINNTSYSTEM32。

五、安全建议

1.建立良好的安全习惯。例如：不要轻易打开一些来历不明的邮件及附件，不要上一些不太了解的网站，不要运行从互联网上下载的未经杀毒处理的软件等，这些必要的习惯会使您的计算机更加安全。

2.关闭或删除系统中不需要的服务。默认情况下，操作系统会安装一些辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大作用，如果删除它们，就能大大减少被攻击的可能性，增强电脑的安全。

3.经常升级安全补丁。据统计，大部分网络病毒都是通过系统安全漏洞进行传播的，象冲击波、大无极、SCO炸弹、网络天空等。漏洞的存在，会造成杀毒杀不干净的情况，所以应该定期到微软网站去下载最新的安全补丁，堵住系统的漏洞。

4.使用复杂的密码。有许多网络病毒是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数，减少被病毒攻击的概率。

5.迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。

6.了解一些病毒知识。这样您就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果能了解一些内存知识，就可以经常看看内存中是否有可疑程序。

7.最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天，使用杀毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控打开(如邮件监控)、遇到问题要及时上报，这样才能真正保障计算机的安全。