Worm.Win32.Dabber.a
2008-02-23 09:27:39来源:互联网 阅读 ()
病毒名称:
Worm.Win32.Dabber.a
类别: 蠕虫
病毒资料:
破坏方法:
一个蠕虫病毒
病毒行为:
病毒运行后,将自己复制到%SYSTEM%目录,..\All Users\Main menu\Programs\StartUp目录
及
c:\Documents and Settings\All Users\Start Menu\Programs\Starup目录中,文件名为:
package.exe
并在注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
中加入自己的键值:sassfix=%SYSTEM%\package.exe
病毒使用"sas4dab"为互斥量
病毒尝试删除注册表Run项中的以下键值:(一些病毒建的)
Video Process.
TempCom.
SkynetRevenge
MapiDrv
BagleAV
System Updater Service
soundcontrl
WinMsrv32
drvddll.exe
navapsrc.exe
skynetave.exe
Generic Host Service
Windows Drive Compatibility
windows.Microsoft Update
Drvddll.exe
Drvddll_exe
drvsys
drvsys.exe
ssgrate
ssgrate.exe
lsasss
lsasss.exe
avserve2.exe
avvserrve32.avserve
病毒建立四个线程实现一些功能。
一.后门:
病毒监视9898端口,等待客户端的连接。该后门可以执行一些如:执行文件,从特定网站下载文件等功能。
二.TFTP服务器:
病毒监听69端口,实现一个tftp服务器,一旦病毒成功的利用漏洞攻击一个系统后被攻入的系统将从利用该服务器将病毒复制过去执行。以达到传播的目的。
三.一个空线程:
病毒作者并没有实现任何代码。(可能下个版本将实现)
四.利用漏洞进行攻击
病毒利用本地系统的ip进行计算,和到攻击目标地址并尝试对其5554端口(震荡波的后门)的连接。
1.联接失败:
病毒将再尝试对其9898端口的连接(用以识别目标系统是否已被病毒感染过)当失败(目标系统没有被病毒感染)时病毒利用Ms4011漏洞对目标系统进行攻击。并利用自己的tftp服务器将自己复制过去。
2.联接成功:
病毒将再尝试对其9898端口的连接(用以识别目标系统是否已被病毒感染过)当失败(目标系统没有被病毒感染)时病毒利用震荡波的后门将自己复制过去。
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2004-5-14
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
下一篇:Worm.Kibuv.a
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
