概述
病毒別名:Worm.Win32.Padobot.p【AVP】W32.Korgo.W【諾頓】
處理時間:
威脅級別:★★
中文名稱:潘都伯變種p
病毒類型:蠕蟲
影響系統:Win9x/WinNT/Win2K/WinXP/Win2003
病毒行為:
潘都伯
編寫工具:
傳染條件:
A、利用Lsass漏洞(MS04-011)進行傳播
B、
發作條件:
系統修改:
A、複製自身到
%System%\%Rand%.exe
%Rand%為隨機檔案名稱
B、
1、在註冊表主鍵
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
添加如下兩個鍵值之一:
"System Update"="%System%\%Rand%.exe"
"Cryptographic Service"="%System%\%Rand%.exe"
以便在計算機啟動時載入病毒
2、在註冊表主鍵
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWireless
添加如下鍵值:
"Client"="1"
"ID"="%Rand%"
3、刪除註冊表主鍵
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
以下鍵值
"Windows Security Manager"
"Disk Defragmenter"
"System Restore Service"
"Bot Loader"
"SysTray"
"WinUpdate"
"Windows Update Service"
"avserve.exe"
"avserve2.exeUpdate Service"
"MS Config v13"
"Windows Update"
C、如果蠕蟲運行的資料夾內有以下
ftpupd.exe
則刪除
D、創建如下互斥量
u8
u9
u10
u10x
u11
u11x
u12
u12x
u13
u13i
u13x
u14
u14x
u15
u15x
u16
u16x
u17
u17x
u18
u18x
u19
u19-2x
E、嘗試在Explorer.exe 注入一個執行緒,如果成功,則病毒會在進程列表中消失
發作現象:
A、隨機開放一個TCP連線埠,用於向其它計算機傳送病毒。
B、嘗試連線以下網站,以便自動更新病毒自身
adult-empire.com
asechka.ru
citi-bank.ru
color-bank.ru
crutop.nu
cvv.ru
fethard.biz
filesearch.ru
kavkaz.tv
kidos-bank.ru
konfiskat.org
master-x.com
mazafaka.ru
parex-bank.ru
roboxchange.com
www.redline.ru
xware.cjb.net
C、嘗試利用Lsass漏洞(MS04-011)——與震盪波病毒利用的漏洞相同,對其它計算機進行溢出攻擊。
特別說明:
