Worm.Welchia.b.enc

2008-02-23 09:25:15来源：互联网阅读 ()

病毒名称: Worm.Welchia.b.enc 类别：蠕虫病毒资料：破坏方法：

一个利用多个漏洞进行传播的蠕虫病毒。

病毒行为：

病毒将于2004年6月1日以后或病毒运行180天以后。自动删除自己的服务，并删除自己的exe文件。
病毒运行后将自己复制到
％System％\drivers\svchost.exe并在注册表中加入一个
服务名为：WksPatch，其文件路径指向
％System％\drivers\svchost.exe。显示名为以下
3组字符串随机组合的服务。

字串组1：
Security
Remote
Routing
Performance
Network
License
Internet

字串组2：
Manager
Procedure
Accounts
Event

字串组3：
Sharing
Messaging
Client
修改页面：

病毒判断当前系统是否为日文系统，如果是病毒从注册表
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\
Virtual Roots
及IIS Help folders中读取路径并尝试搜索用病毒体内带的一个Html文件替换。

将被替换的文件扩展名为：
.ASP,.htm,.html,.PHP,.cgi,.stm,.shtm,.shtml

病毒体内的文件内容:

LET HISTORY TELL FUTURE !

1931.9.18

1937.7.7

1937.12.13 300,000 !

1941.12.7

1945.8.6 Little boy

1945.8.9 Fatso

1945.8.15

Let history tell future !

清除Worm.MyDoom.a,Worm.MyDoom.b病毒：

当前系统不是日文系统的话，并统中了Worm.MyDoom的话,病毒将尝试清除掉。并清楚病毒留下的后门。

补丁下载：

当前系统是英文，韩文或简繁中文的话，病毒将利用系统注册表尝试判断去microsoft的网站下载相应的补丁包。并运行。

漏洞攻击：

病毒随机产成ip地址尝试利用以下四个漏洞进行攻击。（病毒的一个漏洞溢出点是从本地
系统的动态库中搜出：ws2_32.dll,rtutils.dll，
mprapi.dll，这样对使用同样系统的局域网攻击目标成功率将提高。）
1.DCOM RPC
2.WebDav vulnerability.
3.Workstation Service vulnerability
4.Locator service vulnerability.

病毒后门：

病毒监听一个随机的端口做为一个http服务器：当收到Get WksPatch.exe请求后，向请求发送WksPatch.exe文件。
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。
发现日期： 2004-2-13

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有