布什大选获胜拉丹的化身病毒起哄
添加时间: 2005-5-15 20:45:05 作者: 网络收集 阅读次数:72 来源: http://www.d9soft.com
W32.Randex.BTB病毒分析
该病毒检测网络中的弱口令进行传播,同时打开后门以便攻击者通过IRC通道进行远程控制。
病毒类型:蠕虫
病毒长度:54,784字节
受影响系统:Windows 2000, Windows 64-bit (AMD64), Windows 64-bit (IA64), Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
风险指数:低
破坏能力:中
感染能力:低
综合评定等级:二级
技术分析:
当病毒发作时:
1,将自身拷贝为%System%\wupdmngr.exe
注意,%System%是一个变量,它表示:C:\Windows\System(Windows95/98/Me);c:\Winnt\System32(Windows NT/2000)或C:\Windows\System32(Windows XP/2003)
2,在如下注册表项:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsfot\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsfot\Windows\CurrentVersion\RunServices (乖乖,又是以服务的方式自动运行,深得拉丹真传呀……)
添加如下键值:
"Windows Update Manager" = "wupdmngr.exe"
3,开始正戏了,如果在随机IP地址中检测到弱口令,它会试着以管理员的身份登录,如果成功,它就会把自己拷贝到远程计算机,并且执行它;如果不成功……不成功就不成功呗,他什么都做不了
4,接下来,打开后门,以便允许远程攻击者利用一个非授权的远程登录访问这台受感染的计算机,它会连接到域名为rachedalmaged.redirectme.net的IRC服务器
5,高潮到了,连接到预定的IRC服务器的IRC通道后,它就会接收远程指令,比如:
·ntscan - 它会直接导致这个小虫虫扫描系统中的管理员弱口令,然后远程拷贝并执行。
·cdkey - 搜集众多电脑游戏的CD-KEY,然后通过IRC通道发送给攻击者(又一个游戏迷来的???)
·sysinfo - 显示系统信息,比如CPU速度和内存
·DDoS - 执行ping,SYN以前UDP泛洪攻击(攻击谁???小布的网站????)
·s0x - 运行一个端口为40403的socks4代理
清除方法:
1,使用net stop "Windows Update Manager"命令终止病毒服务进程(如果病毒服务进程不是此名称,请根据实际情况进行相应名称的改变)
2,进入%System%目录,永久删除wupdmngr.exe文件
3,分别打开注册表中:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsfot\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsfot\Windows\CurrentVersion\RunServices
项,在其右侧面板中删除:
"Windows Update Manager" = "wupdmngr.exe"
键值。
伯狼提醒,请随时更新杀毒软件病毒库,以防止自己成为新病毒的受害者。
上一篇文章: 2004病毒和反病毒技术的发展综述 下一篇文章: 蠕虫已满16岁了,网络安全今非昔比
相关文章: