2005年8月15日,江民反病毒中心截獲一個利用微軟“即插即用服務代碼執行漏洞”(MS05-039)的蠕蟲病毒I-Worm/Zotob。該病毒利用最新漏洞傳播,並且可以通過IRC接受黑客命令,使被感染計算機被黑客完全控制。
基本介紹
傳播方式:網路
危害程度:★★★
該病毒利用最新漏洞傳播,並且可以通過IRC接受黑客命令,使被感染計算機被黑客完全控制。
病毒具體技術特徵如下:
1. 病毒運行後,將創建下列檔案:
%SystemDir%\botzor.exe, 22528位元組
2. 在註冊表中添加下列啟動項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WINDOWS SYSTEM" = botzor.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"WINDOWS SYSTEM" = botzor.exe
這樣,在Windows啟動時,病毒就可以自動執行。
3. 通過TCP連線埠8080連線IRC伺服器,接受並執行黑客命令。可導致被感染計算機被黑客完全控制。
4. 在TCP連線埠33333開啟FTP服務,提供病毒檔案下載功能。利用微軟即插即用服務遠程代碼執行漏洞(MS05-039)進行傳播。如果漏洞利用代碼成功運行,將導致遠程目標計算機從當前被感染計算機的FTP服務上下載病毒程式。如果漏洞代碼沒有成功運行,未打補丁的遠程計算機可能會出現services.exe進程崩潰的現象。
5. 修改%SystemDir%\drivers\etc\hosts檔案,禁止大量國外反病毒和安全廠商的網址。並有下列文本:
MSG to avs: the first av who detect this worm will be the first killed in the
next 24hours!!!