（憤怒天使）Serverx.exe簡單分析

文件名稱：Serverx.exe

 

中文別名：憤怒天使

 

文件大小：9418 bytes

 

AV命名：Virus.Win32.Small.l（Kaspersky） Win32/Small.S（AVG）

 

加殼方式：未知壓縮殼

 

編寫語言：VC

 

文件MD5：d84227ad798e709697aabb287c36b556

 

行爲：

 

0、查找互斥體“VLPTj”，有則退出進程。

 

1、釋放文件：

 

C:\WINDOWS\system32\Serverx.exe 9418 字節

 

2、添加啓動：

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

(註冊表值) Serverx = "C:\windows\system32\Serverx.exe

 

3、禁止Admin$共享：

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

AutoShareServer = 0

 

4、監控“SOFTWARE\Microsoft\Windows\CurrentVersion\Run”整個項

 

如果有變動，則執行第二點，添加註冊表。

 

5、下載其他***：[url]http://vguarder.91i.net/SETUPX.EXE[/url]

 

測試時未實現。

 

6、感染後綴名爲exe和scr的文件，感染標記應該是“Angry Angel v3.0”。

 

感染時會跳過“wind”“winn”開頭的文件夾。

 

感染方式沒看～～

 

7、可能會查找局域網內可連接的主機傳播該病毒。

 

解決方法是升級殺毒軟件，修復被感染的文件。

 

然後刪除其啓動項。