狙擊波

狙擊波

該病毒通過MS05-039漏洞進行傳播.病毒會向未感染的機器發生漏洞溢出數據包,如果攻擊失敗,受攻擊的機器會發生崩潰,出現倒計時對話框,用戶可以通過網路防火牆關閉445連線埠,以阻止攻擊.用戶一旦感染該病毒,就會通過IRC被病毒傳播者控制.該病毒還會禁止用戶更新安全軟體.

基本介紹

  • 中文名狙擊波
  • 外文名:Worm.Zotob.a
  • 處理時間:2005-08-15
  • 病毒類型蠕蟲
  • 威脅級別:★★★
病毒資料,病毒分析,

病毒資料

影響系統:Win 2000/NT,Win XP,Win 2003

病毒分析

1. 病毒將自身複製到以下目錄:
%system%\botzor.exe
2. 在註冊表中添加如下鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService
"WINDOWS SYSTEM" = "botzor.exe"
以在每次啟動時運行
3. 修改以下服務
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
"Start" = 0x00000004
以阻止WinXP自帶的防火牆運行
4.通過MS05-039進行攻擊
// -=PNP445=- //transfer complete to ip:
5.病毒會創建以下互斥量,以保證系統只一個進程運行
B-O-T-Z-O-R
6.病毒檔案中含有以下作者信息
Botzor2005 By DiablO
7.病毒會連結
diabl0.turk*****s.net
網站的IRC頻道,以接受病毒傳播者的控制.
8. 修改Host檔案
Botzor2005 Made By .... Greetz to good friend Coder. Based On HellBot3
MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!
n127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com

相關詞條

熱門詞條

聯絡我們