Worm.Lehs
2008-02-23 09:23:55来源:互联网 阅读 ()
病毒名称:
Worm.Lehs
类别: 蠕虫病毒
病毒资料:
破坏方法:
VB写的病毒,通过Outlook发送邮件传播。
病毒伪装成微软的RPC DCOM漏洞的补丁,发送的邮件可能包含如下内容:
"Microsoft Corporation has issued a patch for the DCOM RPC vulnerability.
The patch can be downloaded below named patch883653.exe. This patch will
patch your computer from the rpc eXPloit recently used by W32.Blaster.Worm.
Thank you for your time and coorporation. "
病毒可能复制的目录和文件名为:
C:\Windows\System\Sysrestore\Restoreshell.exe
C:\Windows\system32\Sysrestore\Shell.exe
C:\Windows\system32\Sysrestore\MSIinstall.exe
C:\Windows\system32\Sysrestore\WINcom.exe
C:\Windows\system32\Sysrestore\KERNEL32.exe
C:\Windows\system32\Sysrestore\Notepad.exe
C:\Windows\system32\Sysrestore\Kern16.exe
C:\Windows\system32\Sysrestore\Win-16_BIT.exe
C:\Windows\System\Sysrestore\MSIshell.exe
C:\Windows\System\Sysrestore\WIN_16-Bit.exe
C:\Windows\System\Sysrestore\Kernel32.exe
C:\Windows\System\Sysrestore\KERNEL32.dll
C:\Windows\System\Sysrestore\Notepad.exe
C:\Windows\System\Sysrestore\MSIinstall.exe
C:\Windows\System\Sysrestore\Windows.exe
C:\Windows\System\Sysrestore\reInstall.exe
C:\Windows\System\Sysrestore\MicroPackage.exe
C:\Windows\System\Sysrestore\Dage.exe
C:\Windows\System\Sysrestore\Gadeth.exe
C:\Windows\System\Sysrestore\Ndad.exe
C:\Windows\System\Sysrestore\Patch.exe
C:\Windows\System\Sysrestore\Patchda82653.exe
C:\Windows\System\Sysrestore\Patch8ba82653.exe
C:\Windows\System\Sysrestore\Patch882he653.exe
C:\Windows\System\Sysrestore\Patch882ad653.exe
C:\Windows\System\Sysrestore\Patch88a2653.exe
C:\Windows\System\Sysrestore\Patch88gadh2653.exe
C:\Windows\System\Sysrestore\Patch8826ad53.exe
C:\Windows\System\Sysrestore\Patch882hae653.exe
C:\Windows\System\Sysrestore\Patch8822d653.exe
C:\Windows\System\Sysrestore\Patch8a82653.exe
C:\Windows\System\Sysrestore\Patch8agd82653.exe
C:\Windows\System\Sysrestore\Patch8da82653.exe
C:\Windows\System\Sysrestore\Patch88ba2653.exe
C:\Windows\System\Sysrestore\Patch88asdf2653.exe
C:\Windows\System\Sysrestore\Patch88abad2653.exe
C:\Windows\System\Sysrestore\Patch882da653.exe
C:\Windows\System\Sysrestore\Patch88ads2653.exe
C:\Windows\System\Sysrestore\Patch8826da53.exe
C:\Windows\System\Sysrestore\Patch88265ba3.exe
C:\Windows\System\Sysrestore\Patch8826a53das.exe
C:\Windows\System\Sysrestore\Patch8826fasd53ds.exe
C:\Windows\System\Sysrestore\Patch882abd653.exe
C:\Windows\System\Sysrestore\Patch8826nda53.exe
C:\Windows\System\Sysrestore\Patch88wa2653.exe
C:\Windows\System\Sysrestore\Patch88265bad3.exe
C:\Windows\System\Sysrestore\Patch88265bna3.exe
C:\Windows\System\Sysrestore\Patch88265ad3.exe
C:\Windows\System\Sysrestore\Patch88265adsf3.exe
C:\Windows\System\Sysrestore\Patch88sd2653.exe
C:\Windows\System\Sysrestore\Patch882ban653.exe
C:\Windows\System\Sysrestore\Patch8826adwe53.exe
C:\Windows\System\Sysrestore\MTK.exe
C:\Windows\System\Sysrestore\Splinter.exe
C:\Windows\System\Sysrestore\{927982-2356-0042-25}HKEY.exe
C:\Windows\System\Sysrestore\Bin.exe等
它还将在c:\下生成如下名字的空目录:
C:\blak
C:\prune
C:\ad
C:\ablak
C:\bhblak
C:\blaadk
C:\blaadadk
C:\blaeak
C:\bla dsak
C:\blabadwtk
C:\blwety32ak
C:\bl346ak
C:\blnaak
C:\bl32hadak
C:\bl2ak
C:\blay23k
C:\blhah3ak
C:\bln33425ak
C:\bwetlak
C:\blasdak
C:\basdlak
C:\blhaak
C:\blahadewk
C:\blahsak
C:\bnclaks
C:\blacvnk
C:\blnaedak
C:\blwerak
C:\blaweeaak
病毒将修改AUTOEXEC.BAT文件,加入一行:
Start %SystemRoot%\Sysrestore\Notepad.exe
文件:Notepad.exe就是病毒本身
病毒还将释放一个文件:
MSDOS_3.Bat,用来对下列网站进行攻击:
www.norton.com
http://securityresponse.symantec.com
win.ini
[windows]
run=%SystemRoot%\Sysrestore\Notepad.exe
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
