Worm.RPC.Sdbot.dll
2008-02-23 09:19:07来源:互联网 阅读 ()
使用RPC漏洞传播的蠕虫病毒一旦执行,将释放以下两个文件到系统目录:
winlogin.exe
yuetyutr.dll
WINLOGIN.EXE :就是蠕虫“Worm.RPC.Sdbot”,它将YUEYUTR.DLL注入到资源管理器的进程内存中YUEYUTR.DLL :是此病毒用来传播的组件,它运行后将探测网络上存在RPC DCOM漏洞的机器,如果存在病毒则在此机器上打开4444端口,运行一个远程shell<此shell的代码与病毒Worm.Blaster的是同一个>,随后创建一个线程来模拟一个TFTP服务器<本机>,病毒随后命令中毒机器<远程>从本机TFTP服务器下载winlogin.exe并执行,进行下一次传播流程。
其它信息:
病毒使用的是SDBOT的变种,一种IRC病毒,此种SDBOT是一种后门病毒,它可以连接到指定的IRC服务器上并使用随机的昵称加入到指定的channel中。
病毒通过Microsoft windows的RPC漏洞进行传播RPC漏洞详情请访问微软网站:
http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.ASP
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Runonce
winlogon = "winlogin.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run
NdplDeamon = "winlogin.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run
winlogon = "winlogin.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon
Shell = "eXPlorer.exe winlogin.exe"
在Windows 95, 98, and ME系统上,病毒修改文件:SYSTEM.INI
[boot]
shell = explorer.exe winlogin.exe
4444.691.在win2k下有可能导致资源管理启动异常
2.病毒进行RPC DCOM漏洞探测时可能导致系统重启
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2003-8-14
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇:Worm.Urick.d
下一篇:Worm.Blaster.a
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash