情人節未到,風暴蠕蟲先到
2008 年 01 月 16 日 – 14:54:00情人節快要到了,風暴蠕蟲(Storm Worm)作者也跟著蠢蠢欲動。最近發現很多垃圾郵件中都包含風暴蠕蟲的下載連結,如果不小心點擊連結,那會很慘勒。
執行之後,有下面的行為:
[Added service]
NAME: burito33dc-bb
DISPLAY: burito33dc-bb
FILE: \??\C:\WINDOWS\system32\burito33dc-bb.sys
[Added file]
C:\Temp\withlove.exe
C:\WINDOWS\system32\burito33dc-bb.sys
C:\WINDOWS\system32\burito.ini
此惡意程式具有 Rootkit 的行為 (如下圖所示),受害者將不知道系統中有此惡意程式:
到目前為止 (2008/1/16 @ 12:28),下面的防毒軟體可以偵測到這些惡意檔案 (僅提供參考):
burito33dc-bb.sys:
[ Trend ], "TROJ_PEACOMM.BM"
with_love.exe:
[ McAfee ], "W32/Nuwar@MM"
[ McAfee_Beta ], "W32/Nuwar@MM"
[ Nod32 ], "a variant of Win32/Nuwar worm"
[ Fortinet ], "suspicious"
[ WebWasher ], "BlockReason.46 (suspicious)"
withlove.exe:
[ McAfee ], "W32/Nuwar@MM"
[ McAfee_Beta ], "W32/Nuwar@MM"
[ Nod32 ], "a variant of Win32/Nuwar worm"
[ Fortinet ], "suspicious"
[ WebWasher ], "BlockReason.46 (suspicious)"
“情人節未到,風暴蠕蟲先到” 目前有 1 迴響
怎麼Trend 只抓到主檔案
其餘生成物卻抓不著
……………………………..
我在某論壇抓的樣本也只能偵測該原始檔
執行後的生成物無法偵測到….怎麼…偷工減料啊T.T
By Anonymous on 2008 年 01 月 21 日 - 16:05:00