Worm.Padobot.et,一種病毒,運行後將竊聽和泄漏用戶的一些個人數據。
基本介紹
- 外文名:Worm.Padobot.et
- 威脅級別:★★★
- 中文名稱:帕拉丁
- 病毒類型:蠕蟲
- 影響系統:Win9x/WinNT/Win2K
基本信息,傳播過程,
基本信息
病毒別名:Worm.Padobot.et
處理時間:
影響系統:Win9x/WinNT/Win2K/WinXP/Win2003
病毒行為:
編寫工具:
vc6編寫,upx編寫
傳染條件:
利用lsass溢出漏洞http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx在tcp連線埠445進行溢出傳播.同時在113, 3067和256-8191之間的隨機連線埠開設後門.
發作條件:
運行後將竊聽和泄漏用戶的一些個人數據.
傳播過程
1,刪除病毒初始運行目錄下的Ftpupd.exe檔案
2,通過建立互斥體u8, u9, u10, uterm11, r10來確保只有一個進程運行
3,建立事件對象u11x
4,刪除以下註冊表鍵值:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
Windows Security Manager
Disk Defragmenter
System Restore Service
Bot Loader
WinUpdate
Windows Update Service
avserve.exe
avserve2.exeUpdate Service
5,添加註冊表鍵值:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
"Windows Update"="%System%.exe"
6,將自身注入Explorer.exe的進程空間,使用戶難以察覺.
7,在Tcp連線埠113, 3067, 256-8191之間開設後門
8,從以下網站的http server進行病毒自身的更新:
moscow-advokat.ru
fethard.biz
hackers.lv
cvv.ru
www.redline.ru
lovingod.host.sk
filesearch.ru
goldensand.ru
fuck.ru
padonki.org
trojan.ru
asechka.ru
master-x.com
color-bank.ru
kavkaz.ru
crutop.nu
kidos-bank.ru
parex-bank.ru
adult-empire.com
konfiskat.org