W32.Kwbot.Worm

2008-02-23 09:02:04来源：互联网阅读 ()

病毒名称: W32.Kwbot.Worm 类别：特洛伊木马、蠕虫病毒资料：传播：

1.端口：随机变化；

2.感染目标：KaZaZ共享文件夹；

技术特征：

该蠕虫同时具有后门木马的功能，会让黑客控制受害电脑。它能在互联网上通过检测最新版本来自动更新自身。

此蠕虫会伪装成流行的电影、游戏或软件等格式文件，试图欺骗KaZaA用户下载并打开某个程序而达到通过KaZaA文件共享网络传播的目的。运行后，它会：

1.生成C:％System％EXPlorer32.exe；

2.添加键值Windows Explorer Update Build 1142 C:％SYSTEM％EXPLORER32.EXE

至注册表键HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices，这会使得Windows启动时病毒自动运行。

3.会随机地打开TCP端口来与黑客连接。

另外，此病毒含有自己的IRC客户端，这会使它与某个安装了木马的IRC通道连接，使用此通道时，木马会监听黑客发送的命令。黑客通过使用Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'>密码保护权限来访问此木马。其中来自黑客的命令会让黑客执行如下任何操作：

1.管理木马的安装；

2.控制受害电脑上的IRC客户端；

3.动态更新安装的木马；

4.向其他IRC通道发送木马，以试图危害更多的电脑；

5.下载可执行文件；

6.向黑客传送系统及网络数据；

7.向黑客指定的目标发运DOS攻击；

8.删除相关的注册表键来完全卸载自己。

如何传播：

注意：此病毒的传播需要受害电脑上安装了KaZaA软件。

它首先搜索Windows注册表以查找KaZaA共享文件夹。其他KaZaA用户可从此位置下载文件。之后，病毒可从自身携带的名字列表中随机选取许多不同的名字再拷贝自身至此文件夹中。以下是其中一些文件名：

Sum of all Fears SVCD CD3.exe

Star Wars Episode 2 - Attack of the Clones VCD CD2.exe

Spiderman SVCD CD3.exe

Grand Theft Auto 3 CD2 ISO.exe

Playstation 2 PS2 Emulator.exe

Windows XP Home to Professional Upgrade.exe

Windows XP backdoor hack.exe

windows 2000 win2k passWord stealer.exe

Microsoft Office XP Upgrade (from older versions).exe

Macromedia Flash 5 Ultimate Study Guide.exe

ZoneAlarm Firewall Pro.exe

Norton Internet Security 2002.exe

病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Kwbot病毒通过KaZaA文件共享网络传播。
发现日期： 2002-6-18

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有