Win32.Dfcsvc.A

病毒名：Win32.Dfcsvc.A
别名：W32/Dfcsvc.worm.b (McAfee),
Win32/Dfcsvc.A.Worm,
Worm.Win32.Anig.b (Kaspersky),
WORM_ANIG.A (Trend)
种类：win32
类别：蠕虫
传播性：低
破坏性：中
普及性：中

特性：
Win32.Dfcsvc.A,通过WINDOWS共享传播。它含有一个用做系统登录的DLL文件，用以获取用户的登录密码。

感染方式：
Dfcsvc.A,把它自己作为一个服务来安装，并且修改注册值。它在这些本地和远程目标系统上都安装。

服务建立这些值：
服务名：dfcsvc
显示名：distributed File Controller
描述：无
执行路径：（文件名）/dfcsvc
开始方式：自动

当感染了一个远程注册表，它添加这些值：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Osa32 = "(filename)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Ram32Data
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Ram32ID
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Ram32Group
第一个值使它在每次WINDOWS启动时也运行。
如果它能拷贝”ntgina.dll”，它通常修改这个值：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDll = "ntgina.dll"

这个动作的作用是将病毒文件替换用于系统登录时使用的 “msgina.dll” 文件。

传播方式：
通过网络共享

Win32.Dfcsvc.A列出网络上的资源，在每个被找到的共享上，它尝试把自己拷贝到：
\\(remote system)\ADMIN$\SYSTEM32\(filename)

名字是最初运行时的名字。一个例子就是它叫：”NTOSA32.EXE”

蠕虫尝试把它自己装到目标系统上。它不尝试猜密码，所以它只能传染到使用本地administrator管理员帐号登录的机器。

另外，蠕虫还有时候在同一个目录里查找 ”ntgina.dll” 文件，如果ntgina.dll文件没有或者被删除，蠕虫将重新传递此文件。

有效功能：
当蠕虫安装完成后，“ntgina.dll”执行登陆。病毒将记录按键以及登录窗口的标题并生成一个文件放在：%Windows%\SYSTEM32\NTKBH32.dll
提示：’%windows%’是一个可变地址。蠕虫通过当前文件夹的操作系统来决定位置。WIN2000和NT的默认文件夹是c:\winnt;95/98和ME的是c:\windows,XP的是c:\windows

蠕虫通过5190端口和外部连接，可能发送捕获数据到一个恶意用户。
蠕虫通常监听通过5190端口进入的数据，作为系统的一个后门。

检测/清除：
KILL安全胄甲 v 23.63.85 (Inoculan IT 引擎) v 11.2x/8117(vet引擎)、KILL98/2000 45.85 可检测/清除此病毒。