2004年4月8日上午9点,安天Arrect Net预警网络上海监控站发现著名共享软件网络蚂蚁中文站有被攻击的可能,并已经影响到很多访问过该站点用户的系统.
登陆“网络蚂蚁”官方网站之后机器运行速度变慢,IE主页可能被修改成色情网站链接.下面是瑞星对网络蚂蚁网站病毒所做的详细分析报告.
一、病毒评估
1．病毒中文名：网蚁，首页
2．病毒英文名：Script.Harnig.ga ，Trojan.Win32.StartPage.es
3．病毒类型：蠕虫病毒
4．病毒危险等级：★★★★
5．病毒传播途径：网络、网页
6．病毒依赖系统：Windows 9X/NT/2000/XP
二、病毒的破坏
给系统安置上多个木马，窃取用户信息，泄漏用户机密。
三、病毒报告
用户点开网页时，网页里面的Script.Harnig.ga病毒利用IE漏洞将Trojan.Win32.StartPage.es下载到用户本地并执行。
Trojan.Win32.StartPage.es 运行后将从网上下载Trojan.Sksatssm、Trojan.Xtssksastsm 和Trojan.Win32.Harnig.g三个文件到本地系统并运行。
Trojan.Win32.StartPage.es病毒介绍：
病毒行为：
病毒运行后将首先杀死一些与体内存在的“黑名单”相符的进程。进程名如下：
MCUPDATE.EXE,
CFIAUDIT.EXE,
AVXQUAR.EXE,
AUTOUPDATE.EXE,
AUTOTRACE.EXE,
AUTODOWN.EXE,
AUPDATE.EXE,
NUPGRADE.EXE,
UPDATE.EXE,
ICSUPP95.EXE,
ICSSUPPNT.EXE,
DRWEBUPW.EXE,
LUALL.EXE,
AVPUPD.EXE,
AVWUPD32.EXE,
ATUPDATER.EXE
接着病毒将连接到hard-xxxns.com 网站上并尝试下载：
/progs/reg33lol.txt,
/progs/secure1a.php
/progs/secure64.php,
/progs/secure30.php,
/progs/mssysadv.txt,
/progs/mstaskss.txt,
/progs/msstasks.txt,
/progs/consol32.txt,
/progs/toffel32.txt,
/progs/dkdial66.txt,
/progs/dkdial33.txt,
/progs/dkdial64.txt,
/progs/dkdial32.txt
到本地系统的%window%目录，并将其命名为以下几种： reg33.exe、mssys.exe、mstaskss.exe、msstasks.exe、consol32.exe、toffel32.exe、dl.exe、dlm.exe，并执行这些文件，其中mssys.exe、console32.exe、toffel32.exe这三个网站上不存在。
注：
mstaskss.exe 为病毒：Trojan.Sksatssm
msstasks.exe 为病毒: Trojan.Xtssksastsm（是个没用的垃圾，作者没有完成功能）
reg33.exe 为病毒: Trojan.Win32.Harnig.g
Trojan.Sksatssm:
病毒行为：
该病毒从体内放出WINUPD.EXE和CMD32.DLL并在注册表SoftwareMicrosoftWindowsCurrentVersionRun 中加入加载Winupd.exe的键Upgrade Service以达到系统启动时加载Winupd.exe
注：Winupd.exe是病毒TrojanSpy.Skoper一个记录系统键盘信息，并发送到特定邮箱的木马病毒。
Trojan.Win32.Harnig.g：
病毒行为：
在注册表SOFTWAREMicrosoftWindowsCurrentVersionRun中加入自己的键值：Reg32
接着病毒重复执行以下动作：
1.杀死以下进程：
MCUPDATE.EXE,CFIAUDIT.EXE,AVXQUAR.EXE,AUTOUPDATE.EXE,AUTOTRACE.EXE,AUTODOWN.EXE，AUPDATE.EXE,NUPGRADE.EXE,UPDATE.EXE,ICSUPP95.EXE,ICSSUPPNT.EXE,DRWEBUPW.EXE,LUALL.EXE，AVPUPD.EXE,AVWUPD32.EXE,ATUPDATER.EXE
2.修改系统IE的Default_Page_URL,Start Page,Local Page
3.删除系统的host文件