基本介紹
傳播過程及特徵:
1.複製自身為:
%Windir%\system32\upu.exe
2.修改註冊表:
/添加鍵值:"NvClipRsv"="<蠕蟲路徑>"
到註冊表:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
3.在註冊表HKEY_CURRENT_USER\Software\Kazaa\Transfer下搜尋鍵值"DlDir0",用以發現Kazaa已分享檔案夾。
一旦發現後便複製自身到此目錄,檔案名稱為下列之一:
AVP5.xcrack.exe
hx00def.exe
ICQBomber.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
UnNukeit9xNTICQ04noimageCrk.exe
YahooDBMails.exe
此外還複製自身到網路已分享資料夾下,檔案名稱為:
hx00def.exe
ICQBomber.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
UnNukeit9xNTICQ04noimageCrk.exe
YahooDBMails.exe
4.修改hosts(%Windir%\system32\drivers\etc\hosts )檔案,添加下列內容:
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
5.監聽TCP連線埠1250,一旦建立連線便從遠程計算機接收檔案並保存為%Temp%\_up.exe,然後開始運行接收的檔案。
任意監聽一個連線埠,建立連線後可能傳送蠕蟲到遠程計算機。
6.遍歷從C到Y的所有固定驅動器,並從.htm, .html, .php, .tbb, .txt等類型的檔案中搜尋有效的郵件地址,
對於帶有一些特殊字元串的地址予以放棄,一般和國內外大型信息及安全提供商有關聯。
並利用自帶的SMTP引擎傳送自身到上述地址,郵件特徵:
主題:下列之一
RE: order
For you
Hi, Mike
Good offer.
RE:
附屬檔案:下列之一
SecUNCE.exe
AtlantI.exe
AGen1.03.exe
demo.exe
release.exe
