Win32.Dfcsvc.A

Win32.Dfcsvc.A

病毒名：Win32.Dfcsvc.A

别名：W32/Dfcsvc.worm.b (McAfee),

Win32/Dfcsvc.A.Worm,

Worm.Win32.Anig.b (Kaspersky),

WORM_ANIG.A (Trend)

种类：win32

类别：蠕虫

传播性：低

破坏性：中

普及性：中

特性：

Win32.Dfcsvc.A,通过WINDOWS共享传播。它含有一个用做系统登录的DLL文件，用以获取用户的登录密码。

感染方式：

Dfcsvc.A,把它自己作为一个服务来安装，并且修改注册值。它在这些本地和远程目标系统上都安装。

服务建立这些值：

服务名：dfcsvc

显示名：distributed File Controller

描述：无

执行路径：（文件名）/dfcsvc

开始方式：自动

当感染了一个远程注册表，它添加这些值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Osa32 = "(filename)"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Ram32Data

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Ram32ID

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Ram32Group

第一个值使它在每次WINDOWS启动时也运行。

如果它能拷贝”ntgina.dll”，它通常修改这个值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDll = "ntgina.dll"

这个动作的作用是将病毒文件替换用于系统登录时使用的 “msgina.dll” 文件。

传播方式：

通过网络共享

Win32.Dfcsvc.A列出网络上的资源，在每个被找到的共享上，它尝试把自己拷贝到：

\\(remote system)\ADMIN$\SYSTEM32\(filename)

名字是最初运行时的名字。一个例子就是它叫：”NTOSA32.EXE”

蠕虫尝试把它自己装到目标系统上。它不尝试猜密码，所以它只能传染到使用本地administrator管理员帐号登录的机器。

另外，蠕虫还有时候在同一个目录里查找 ”ntgina.dll” 文件，如果ntgina.dll文件没有或者被删除，蠕虫将重新传递此文件。

有效功能：

当蠕虫安装完成后，“ntgina.dll”执行登陆。病毒将记录按键以及登录窗口的标题并生成一个文件放在：%Windows%\SYSTEM32\NTKBH32.dll

提示：’%windows%’是一个可变地址。蠕虫通过当前文件夹的操作系统来决定位置。WIN2000和NT的默认文件夹是c:\winnt;95/98和ME的是c:\windows,XP的是c:\windows

蠕虫通过5190端口和外部连接，可能发送捕获数据到一个恶意用户。

蠕虫通常监听通过5190端口进入的数据，作为系统的一个后门。

检测/清除：

KILL安全胄甲 v 23.63.85 (Inoculan IT 引擎) v 11.2x/8117(vet引擎)、KILL98/2000 45.85 可检测/清除此病毒。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。