一个蠕虫病毒
病毒行为:
病毒运行后,将自己复制到%SYSTEM%目录,..\All Users\Main menu\Programs\StartUp目录
及
c:\Documents and Settings\All Users\Start Menu\Programs\Starup目录中,文件名为:
package.exe
并在注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
中加入自己的键值:sassfix=%SYSTEM%\package.exe
病毒使用"sas4dab"为互斥量
病毒尝试删除注册表Run项中的以下键值:(一些病毒建的)
Video Process.
TempCom.
SkynetRevenge
MapiDrv
BagleAV
System Updater Service
soundcontrl
WinMsrv32
drvddll.exe
navapsrc.exe
skynetave.exe
Generic Host Service
Windows Drive Compatibility
windows.Microsoft Update
Drvddll.exe
Drvddll_exe
drvsys
drvsys.exe
ssgrate
ssgrate.exe
lsasss
lsasss.exe
avserve2.exe
avvserrve32.avserve
病毒建立四个线程实现一些功能。
一.后门:
病毒监视9898端口,等待客户端的连接。该后门可以执行一些如:执行文件,从特定网站下载文件等功能。
二.TFTP服务器:
病毒监听69端口,实现一个tftp服务器,一旦病毒成功的利用漏洞攻击一个系统后被攻入的系统将从利用该服务器将病毒复制过去执行。以达到传播的目的。
三.一个空线程:
病毒作者并没有实现任何代码。(可能下个版本将实现)
四.利用漏洞进行攻击
病毒利用本地系统的ip进行计算,和到攻击目标地址并尝试对其5554端口(震荡波的后门)的连接。
1.联接失败:
病毒将再尝试对其9898端口的连接(用以识别目标系统是否已被病毒感染过)当失败(目标系统没有被病毒感染)时病毒利用Ms4011漏洞对目标系统进行攻击。并利用自己的tftp服务器将自己复制过去。
2.联接成功:
病毒将再尝试对其9898端口的连接(用以识别目标系统是否已被病毒感染过)当失败(目标系统没有被病毒感染)时病毒利用震荡波的后门将自己复制过去。
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2004-5-14
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
