蠕蟲病毒Win32.Petribot.AMJ

感染方式

運行時，Win32/Petribot.AMJ 複製"regent.exe"到%Windows% 目錄，並作為一個服務安裝，為了在每次系統啟動時自動運行病毒。服務有以下特徵：

Service name: Register Manager

Display name: Register Manager

Path to executable: %Windows%\regent.exe

Startup type: Automatic

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\ = "%Windows%\regent.exe"

註：'%Windows %'是一個可變的路徑。病毒通過查詢作業系統來決定當前系統資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt； 95，98 和 ME 的是C:\Windows； XP 的是C:\Windows。

這個變體還會生成以下註冊表，為了儲存它自己使用的數據：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\12

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\13

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\14 = ""

通過漏洞傳播

Win32/Petribot.AMJ通過攻擊以下系統漏洞和第三方軟體漏洞進行傳播：

Microsoft Windows LSASS buffer overflow vulnerability (TCP 445連線埠)

Microsoft Windows RPC malformed message buffer overflow vulnerability (TCP 135, 445連線埠)

Exploiting weak passwords on MS SQL servers, including the Microsoft SQL Server Desktop Engine blank 'sa' password vulnerability (TCP 1433連線埠)

Win32/Petribot.AMJ 通過Windows 檔案共享感染遠程機器。它通過探測TCP 139 和 445連線埠掃描目標機器。如果它能夠連線這兩個連線埠的任意一個，它就會連線Windows 共享：

\\\ipc$

這裡的是病毒嘗試感染的機器名。

如果連線成功，它就會嘗試獲取目標機器的用戶名列表，隨後使用這些用戶名訪問系統。如果它不能獲取用戶名列表，它就會嘗試使用以下用戶名：