Worm/Randon.ax使黑客完全控制感染的計算機,它由多個檔案組成,Ratsou.exe 是安裝檔案,大約1.2MB。
基本介紹
- 軟體名稱:Worm/Randon。ax
- 軟體平台:Win9X/2000/XP/NT/Me/2003
- 軟體大小:1,223,314 Bytes
- 病毒類型:網路蠕蟲
簡介,病毒長度,病毒類型,影響平台,傳播過程,
簡介
Worm/Randon。ax
病毒長度
1,223,314 Bytes
病毒類型
影響平台
Win9X/2000/XP/NT/Me/2003
傳播過程
創建資料夾
%Windir%\System32\Drivers\Dsdn36,並在此插入下列檔案:
Aim.dll
Aim.txt
C.dll
Crazy.exe
Empavms.exe
Flood.ocx
Ipservers.dll
Java.dll
Libparse.exe
Lsass.exe
Miconfig.exe
Moo.dll
Msccl.dll
Msconig.exe
Newuser.bat
Nhtml.dll
Regedit.dll
Remote.ini
Restart.exe
Sipg.ocx
Start.ocx
Sysboot.dll
Sysconfig.ocx
Syste32.dll
Temp
Unicod_look
Unicod_ready
Users.dll
Wincmd35.bat
Wind.dll
在 %System% 資料夾下插入檔案
explorer.dll
iexplore.dll
修改註冊表
添加鍵值:
"HID.EXE"="%windir%\system32\dsdn36\lsass.exe"
"lsass"="%windir%\system32\dsdn36\lsass.exe"
到註冊表:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下。
在註冊表HKEY_LOCAL_MACHINE\Software\Classes下掛鈎到IRC檔案,導致一旦打開chat檔案時便調用%Windir%\System32\Dsdn36\lsass.exe。
病毒一旦在系統上運行,就會在TCP連線埠6667連線一個IRC伺服器,並加入到一個特定的聊天頻道,從而使黑客可以控制感染病毒的計算機。此外還可能打開TCP連線埠31337。
