Worm.Welchia.l
2008-02-23 09:27:58来源:互联网 阅读 ()
“冲击波杀手”变种
一个利用多个漏洞进行传播的蠕虫病毒
病毒行为:
病毒运行后将自己复制到%System%\drivers\svchost.exe并在注册表中加入一个服务名为:
WksPatch,其文件路径指向%System%\drivers\svchost.exe。服务显示名为以下三组字符串随机的组合。
字串组1:
System
Security
Remote
Routing
Performance
Network
License
Internet
字串组2:
Logging
Manager
Procedure
Accounts
Event
字串组3:
Provider
Sharing
Messaging
Client
修改主页:
病毒判断当前系统是否为日文系统,如果是病毒从注册表
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots及IIS Help folders中读取路径并尝试搜索用病毒体内带的一个Html文件替换。
将被替换的文件扩展名为:
.ASP,.htm,.html,.PHP,.cgi,.stm,.shtm,.shtml
病毒体内的文件内容:
LET HISTORY TELL FUTURE !
1931.9.18
1937.7.7
1937.12.13 300,000 !
1941.12.7
1945.8.6 Little boy
1945.8.9 Fatso
1945.8.15
Let history tell future !
清除Worm.MyDoom.a,Worm.MyDoom.b病毒:
当前系统不是日文系统的话,并统中了Worm.MyDoom的话,病毒将尝试清除掉。并清楚病毒留下的后门。
补丁下载:
当前系统是英文,韩文或简繁中文的话,病毒将利用系统注册表尝试判断去microsoft的网站下载相应的补丁包。并运行。
漏洞攻击:
病毒随机产成ip地址尝试利用以下四个漏洞进行攻击。(病毒的一个漏洞溢出点是从本地系统的动态库中搜出:ws2_32.dll,rtutils.dll,mprapi.dll,这样对使用同样系统的局域网攻击目标成功率将提高。)
1.DCOM RPC
2.WebDav vulnerability.
3.Workstation Service vulnerability
4.Locator service vulnerability.
病毒后门:
病毒监听一个随机的端口做为一个http服务器:当收到Get WksPatch.exe请求后, 向请求发送WksPatch.exe文件。
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2004-5-26
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇:Worm.Korgo.b.enc
下一篇:Worm.P2P.Norat.b
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash