基本介紹
基本信息,傳播過程,
基本信息
影響平台:Win2000/XP
傳播過程
複製自身為:%Syestem%<隨機檔案名稱>.exe
2.創建互斥體:u8 ,u9 ,u10 ,u10x ,u11 ,u11x ,u12
,u12x ,u13 ,u13i ,u13x ,u14 ,u14x ,u15 ,
u15x ,u16 ,u16x ,u17 ,u17x ,u18 ,u18x ,u19
,u19x ,u20 ,u20x,保證一個蠕蟲例程的運行。
3.修改註冊表:
/刪除註冊表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下的鍵值:
"Windows Security Manager"
"Disk Defragmenter"
"System Restore Service"
"Bot Loader"
"SysTray"
"WinUpdate"
"Windows Update Service"
"avserve.exe"
"avserve2.exeUpdate Service"
"MS Config v13"
"Windows Update"
/添加鍵值:
"Client"="1"
"ID"=<隨機值>
到註冊表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless
/添加鍵值:
"System Update"="%Syestem%<隨機檔案名稱>.exe"
"Cryptographic Service"="%Syestem%<隨機檔案名稱>.exe"
到註冊表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4.將自身作為執行緒嵌入Exporer.exe,而後開始運行並有如下操作:
/打開TCP連線埠113,5111和從256到8191的任意連線埠,蠕蟲通過這些連線埠傳送自身。
/連線下列HTTP伺服器,並試圖從這些站點升級自身:
adult-empire.com
asechka.ru
citi-bank.ru
color-bank.ru
crutop.nu
fethard.biz
filesearch.ru
kavkaz.tv
kidos-bank.ru
konfiskat.org
master-x.com
mazafaka.ru
parex-bank.ru
roboxchange.com
www.redline.ru
xware.cjb.net
