Worm.Kibuv.a
2008-02-23 09:27:39来源:互联网 阅读 ()
病毒名称:
Worm.Kibuv.a
类别: 蠕虫
病毒资料:
破坏方法:
一个利用微软两大严重漏洞RPC及MS-4011进行传播的蠕虫病毒。
一个利用RPC及Ms-4011漏洞进行传播的蠕虫病毒
病毒体内带有一段信息:
Hello, LURHQ, Network Associates, F-Secure Corp, and anyone else I left out.
I prefer you call this 'Bushkiller' or 'KillBush,' and not something lame.
Also, I'd like to introdUCe you to the new 'Team Spaz' Fuck NetSky and the like
Bush must go! Kerry 2004! :-)
病毒行为:
病毒运行后,建立一个名为“BushDie”的互斥量。以防止重复执行。
病毒建立两个线程分别实现:
1.一个后门:
病毒监听420端口,当有连接时,病毒将把当前系统ip及病毒的FTP服务端口,及病毒当前文件名传过去。(实际上是供给攻入其它系统的那段shell代码使用)
2.一个ftp服务器
病毒监听9604端口,并实现一个攻能略少的ftp服务器。以便给攻入其它系统的shell代码
提供病毒文件传输。
病毒建立两个攻击线程并随机计算出攻击ip,对其进行Ms-4011或RPC-DCOM漏洞攻击。一但攻击成功病毒将通过自己的ftp服务器,把病毒本身传过去。以达到传播目的。
病毒以1秒为周期在注册表中加入两个键值
1.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"Vote for Kerry"=%VIRUSFILENAME%
2.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Vote for Kerry"=%VIRUSFILENAME%
病毒的清除法: 删除以下两个键值并终止相对的进程。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Vote for Kerry HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Vote for Kerry 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2004-5-18
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
下一篇:Worm.Kibuv.b
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
