Worm.Welchia

2008-02-23 09:19:06来源：互联网阅读 ()

病毒名称: Worm.Welchia 类别：蠕虫病毒病毒资料： 1.程序将系统目录的dllcache\tFTPd.exe拷贝到 wins\svchost.exe，注册为服务 "RpcTftpd"
把自己拷贝到wins\DLLHOST.EXE，注册为服务"RpcPatch"

2.终止内存中的msblast<冲击波>，并删除相应文件。

3.如果是2004年，卸载两个服务上述两个服务；并退出系统，将自己删除。

4.病毒通过检测本机的注册表来判断是否已经安装RPC漏洞补丁如果本地机器没有打补丁，下载微软的补丁程序到本地 "RpcServicePack.exe"，加入参数“ -n -o -z -q”，运行补丁程序。运行完后删除补丁文件，重起机器。

5.病毒随后通过Ping网络上的机器来进行传播，如果ping成功，则试图通过RPC漏洞侵入远程机器，进入下一次传播流程。

破坏方法:

1.由于病毒的特殊传播方式，可能造成网络交通堵塞
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。
发现日期： 2003-8-15

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有