Worm.Mocbot.a

病毒簡介

Worm.Mocbot.a

分析報告

一、 生成檔案：
“魔波（Worm.Mocbot.a）”病毒運行後，將自身改名為“wgavm.exe”並複製到%SYSTEM%中。
“魔波變種B（Worm.Mocbot.b）”病毒運行後，將自身改名為“wgareg.exe”並複製到%SYSTEM%中。
二、 啟動方式：
病毒會創建系統服務，實現隨系統啟動自動運行的目的。
“魔波（Worm.Mocbot.a）”：
服務名: wgavm
顯示名: Windows Genuine Advantage Validation Monitor
描述: Ensures that your copy of Microsoft Windows is genuine. Stopping or disabling this service will result in system instability.
“魔波變種B（Worm.Mocbot.b）”
服務名: wgareg
顯示名: Windows Genuine Advantage Registration Service
描述: Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.
三、 修改註冊表項目，禁用系統安全中心和防火牆等
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
AntiVirusDisableNotify = "dword:00000001"
AntiVirusOverride = "dword:00000001"
FirewallDisableNotify = "dword:00000001"
FirewallDisableOverride = "dword:00000001"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
EnableDCOM = "N"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous = "dword:00000001"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess
Start = "dword:00000004"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
WindowsFirewall\DomainProfile
EnableFirewall = "dword:00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
WindowsFirewall\StandardProfile
EnableFirewall = "dword:00000000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
lanmanserver\parameters
AutoShareWks = "dword:00000000"
AutoShareServer = "dword:00000000"
四、 連線IRC伺服器，接受黑客指令
自動連線ypgw.wallloan.com、bniu.househot.com伺服器，接受指令。使中毒計算機可被黑客遠程控制。
五、 試圖通過AIM(Aol Instant Messegger)傳播
會在AIM(Aol Instant Messegger)中傳送訊息，在訊息中包含一個URL(下載地址)，如果用戶點擊地址並下載該地址的程式，則好友列表里的人都將收到該條包含URL的訊息。
六、 利用MS06-040漏洞傳播
該病毒會利用Microsoft Windows Server服務遠程緩衝區溢出漏洞（MS06-040 Microsoft Windows的Server服務在處理RPC通訊中的惡意訊息時存在溢出漏洞，遠程攻擊者可以通過傳送惡意的RPC報文來觸發這個漏洞，導致執行任意代碼)
微軟的補丁地址：http://www.microsoft.com/technet/security/bulletin/ms06-040.mspx?pf=true
七、 自動在後台下載其它病毒
會自動從網際網路上下載名為“等級代理木馬變種AWP（Trojan.Proxy.Ranky.awp）”，該病毒會在用戶計算機TCP隨機連線埠上開置後門。