Worm.IRC.WargBot.b

Worm.IRC.WargBot.b - 病毒別名:處理時間:2006-08-14威脅級別:★★★★ 中文名稱:魔鬼波病毒類型:蠕蟲影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003Worm.IRC.WargBot.b - 病毒行為: 這是一個利用MS06-040漏洞進行傳播的蠕蟲病毒,該變種在變種a的基礎上進行了加密處理。該病毒的主要危害是通過IRC聊天頻道是系統接受黑客的控制,淪為“肉雞”,可能導致RPC服務崩潰,用戶無法上網。

病毒別名

: 處理時間:2006-08-14 威脅級別:★★★★
中文名稱:魔鬼波 病毒類型:蠕蟲 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行為

:
這是一個利用MS06-040漏洞進行傳播的蠕蟲病毒,該變種在變種a的基礎上進行了加密處理。該病毒的主要危害是通過IRC聊天頻道是系統接受黑客的控制,淪為“肉雞”,可能導致RPC服務崩潰,用戶無法上網。
1,生成檔案
%system%\wgavm.exe
2,添加服務,通過服務啟動
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wgavm
"ImagePath" = "%system%\wgavm.exe"
3,通過修改下列註冊表信息降低系統安全等級
software\policies\microsoft\windowsfirewall\standardprofile
"enablefirewall" = 0
software\policies\microsoft\windowsfirewall\domainprofile
"enablefirewall" = 0
software\microsoft\security center
"firewalldisableoverride" = 1
"firewalldisablenotify" = 1
"antivirusoverride" = 1
"antivirusdisablenotify" = 1
system\currentcontrolset\services\lanmanserver\parameters
"autosharewks" = 0
"autoshareserver" = 0
system\currentcontrolset\control\lsa
"restrictanonymoussam" = 1
"restrictanonymous" = 1
software\microsoft\ole
"enabledcom" = "n"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
"Start" = 4
4,使用下列命令進行遠程控制
NiCK %.24s
USeR l l l l
PRiVMSG %.16s :%.480s
JOiN %.16s %.16s
USeRHOST %.16s
001
302
332
NiCK %.24s
433
PRIVMSG
PoNG %.500s
PING
【exec】 :(
【exec】 :)
【ni】 %.16s %.16s
QUiT
USER
PASS
OPER
JOIN
5,連線下列IRC伺服器接受黑客控制
ypgw.wallloan.com
bniu.househot.com
6,注入explorer.exe進程

其它

文化藝術,生活娛樂,人物百科,社會人文,中外歷史...

相關詞條

相關搜尋

熱門詞條

聯絡我們