“溫瑟”病毒

2005年1月10日,江民反病毒中心截獲利用微軟WINS溢出漏洞(MS04-045)傳播的木馬病毒Trojan/Winser.a。被該病毒攻擊的計算機會打開後門連線埠,下載病毒程式,還會通過IRC接收並執行多種黑客命令。

基本介紹

  • 中文名:“溫瑟”病毒
  • 外文名:Trojan/Winser.a
  • 病毒大小:139264位元組
  • 傳播方式:網路
危害程度:★★
2005年1月10日,江民反病毒中心截獲利用微軟WINS溢出漏洞(MS04-045)傳播的木馬病毒Trojan/Winser.a。被該病毒攻擊的計算機會打開後門連線埠,下載病毒程式,還會通過IRC接收並執行多種黑客命令。
針對WINS溢出漏洞微軟已經發布了安全更新程式,下載連結:
http://www.microsoft.com/technet/security/bulletin/MS04-045.mspx
病毒具體技術特徵如下:
1. 病毒運行後,將創建下列檔案:
%SystemDir%\ccEvtMngr.exe,139264位元組,病毒主程式
%SystemDir%\ccSetMngr.exe,45056位元組,漏洞利用工具(Exploit.MS04045.WinsExp)
2. 添加服務“NetTcpd”,服務程式指向%SystemDir%\ccEvtMngr.exe
3. 在註冊表中添加下列啟動項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nortonsantivirus" = %SystemDir%\ccEvtMngr.exe
這樣,在Windows啟動時,病毒就可以自動執行。
4. 病毒主程式ccEvtMngr.exe調用釋放出來的WINS漏洞利用工具ccSetMngr.exe,攻擊遠程計算機。被攻陷的遠程計算機將反向連線攻擊主機的37264/TCP連線埠。
5. 病毒啟動一個用於接受反向連線的執行緒,向遠程計算機傳送後門命令。這些後門命令將在遠程計算機上創建一個FTP腳本,用於下載病毒程式。
6. 病毒還會在感染主機的36010/TCP連線埠上建立一個FTP服務,提供病毒自身程式檔案的下載。
7. 接受並執行來自IRC的多種後門命令,黑客通過在IRC上傳送這些命令,可以完全控制被感染的計算機。命令列表如下:
!cpu
!disk
!ver
!exec [command]
!restart
!autohack
!hack
!scan
!remove
!nick
!rshell
!bshell
!srscan
!rscan
!raw
!Massfuckingremove
!chaxport
!chaxpw
!chaxchan
!chaxsrv
!cport
!cchan
!rooted
!op

相關詞條

熱門詞條

聯絡我們