W32.Zotob.I
2008-02-23 09:17:21来源:互联网 阅读 ()
病毒名称:
W32.Zotob.I
类别: 蠕虫病毒
病毒资料:
该病毒长度 46,080 字节,感染 windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP 系统,它利用微软即插即用服务漏洞传播(参见微软安全公告MS05-039
http://www.microsoft.com/technet/security/bulletin/ms05-039.mspx),当收到、打开此病毒时,有以下危害:
A 创建 S-Y-B-O-T-By-Sky-Dancer 信号量来识别自身
B 复制自身到系统目录的hpsv.exe
C 增加键值"WINDOWS SYSTEM" = "botzor.exe"到注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\OLE
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
使得病毒每次开机后自动执行
D 打开后门连接到黑客指定的主机 sezen.aydankaya.org 的 TCP 端口 4455,等待黑客指令
E 允许黑客下载执行任意文件
F 打开 FTP 服务器,通过 TCP 端口 19907,让黑客从中毒机中下载复制任意文件
G 从中毒机的 IP 地址起生成系列地址
H 扫描地址是否有微软即插即用服务漏洞(参见微软安全公告MS05-039 http://www.microsoft.com/technet/security/bulletin/ms05-039.mspx)
I 如果成功扫描到,利用漏洞打开一个后门
J 通过后门,发送文件 2pac.txt,这个文件包括 FTP 脚本,来下载蠕虫
K 保存蠕虫为 haha.exe 文件并执行
L 通知 IRC 服务器被感染的 IP 地址,加入染毒列表
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2005-8-22
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇:Worm.Sober.ak
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
