Worm.Zotob.D

Worm.Zotob.D是一個蠕蟲病毒。該病毒會開啟後門並且利用Plug and Play(MS05-039漏洞)對TCP445連線埠進行緩衝區溢出攻擊。感染該病毒的機器會接收遠程控制命令,並且會修改起始及刪除用戶機器上的狙擊波和狙擊波變種B,逃避防毒軟體,使用戶更難發現該病毒。

病毒簡介

病毒別名
處理時間:2005-08-17
威脅級別:★★★
中文名稱:狙擊波變種D
病毒類型:蠕蟲
影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行為

這是一個蠕蟲病毒,該病毒會開啟後門並且利用Plug and Play(MS05-039漏洞)對TCP445連線埠進行緩衝區溢出攻擊.感染該病毒的機器會接收遠程控制命令,並且會修改起始及刪除用戶機器上的狙擊波和狙擊波變種B,逃避防毒軟體,使用戶更難發現該病毒.
1.建立互斥變數"windrg322", 使病毒只有一個在運行.
2.把病毒本身拷貝到:
%System%\wbev\windrg32.exe
3.添加起始項,使病毒開機運行:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinDrg32
"%System%\wbev\windrg32.exe"
4.嘗試連結以下網路來判斷機器的網路是否連通和路由能力;
www.google.com
www.ebay.com
www.yahoo.com
5.嘗試通過TCP 6667連線埠開啟後門,和以下的IRC伺服器建立連結:
xaeti.m00p.org
db23a.hack-syndicate.org
spookystreet.m00p.org
spookystreet.udp-flood.com
6.感染該病毒的機器會接收遠程控制者的控制命令進行以下活動:
下載和運行檔案;
結束進程;
使用數據字典嘗試攻擊用戶密碼;
www.google.com傳送連結請求;
7.在TCP 1117連線埠開啟FTP服務;
8.嘗試結束以下進程:
pnpsrv.exe
winpnp.exe
csm.exe
botzor.exe
cxtpls.exe
NHUpdater.exe
ViewMgr.exe
realsched.exe
qttask.exe
cmesys.exe
EbatesMoeMoneyMaker*.exe
9.刪除註冊表鍵值:
刪除以下鍵中的
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\RunOnce
以下鍵值
"Windows PNP Server"
"Windows PNP"
"csm Win Updates"
"MyWebSearch"
"WINDOWS SYSTEM"
"Zotob"
"MyWay"
"WeatherOnTray"
"Apropos"
"IBIS TB"
"TBPS"
"Toolbar"
"Hotbar"
"CMESys"
"NavExcel"
"ViewMgr"
"eZula"
"EbatesMoeMoneyMaker"
"Ebates"
"AutoUpdater"
"Gator"
"Trickler"
"QuickTime"
"GatorDownloader"
"eZmmod"
"Viewpoint"
"TkBellExe"
"180"
"WinTools"
"Real"
"QuickTime Task"
"sais"
"msbb"
"saie"
"180ax"
"lgbibsn"
"tov"
10.查找並且刪除以下資料夾或者檔案:
%SYSTEM%\pnpsrv.exe
%SYSTEM%\winpnp.exe
%SYSTEM%\csm.exe
%SYSTEM%\botzor.exe
%PROGRAMFILES%\MyWebSearch
%PROGRAMFILES%\MyWebSearch\*.exe
%PROGRAMFILES%\Hotbar
%PROGRAMFILES%\Hotbar\*.exe
%PROGRAMFILES%\MyWay
%PROGRAMFILES%\MyWay\*.exe
%PROGRAMFILES%\180Solutions
%PROGRAMFILES%\180Solutions\*.exe
%PROGRAMFILES%\Common Files\WinTools
%PROGRAMFILES%\Common Files\WinTools\*.exe
%PROGRAMFILES%\Toolbar
%PROGRAMFILES%\Toolbar\*.exe
%PROGRAMFILES%\CxtPls
%PROGRAMFILES%\NavExcel
%PROGRAMFILES%\AutoUpdate
%PROGRAMFILES%\AutoUpdate\AutoUpdate.exe
%PROGRAMFILES%\EbatesMoeMoneyMaker
%PROGRAMFILES%\eZula
%PROGRAMFILES%\eZula\mmod.exe
%PROGRAMFILES%\Common Files\GMT
%PROGRAMFILES%\Common Files\GMT\GMT.exe
%PROGRAMFILES%\Common Files\CMEII
11.產生隨機IP位址,並且嘗試利用Plug and Play(MS05-039漏洞)對TCP445
連線埠進行緩衝區溢出攻擊.
12.在目標機器上嘗試建立一個下載蠕蟲地址的FTP腳本檔案,下載的蠕蟲病
毒檔案名稱為【NUMBER】.exe,並且會運行該病毒,該病毒會記錄下已經成功進
行溢出機器IP位址,並且把該地址加到IRC聊天室頻道中.

相關搜尋

熱門詞條

聯絡我們