Worm.Padobot.et

Worm.Padobot.et,一種病毒,運行後將竊聽和泄漏用戶的一些個人數據。

基本介紹

  • 外文名:Worm.Padobot.et
  • 威脅級別:★★★
  • 中文名稱:帕拉丁
  • 病毒類型蠕蟲
  • 影響系統:Win9x/WinNT/Win2K
基本信息,傳播過程,

基本信息

病毒別名:Worm.Padobot.et
處理時間:
影響系統:Win9x/WinNT/Win2K/WinXP/Win2003
病毒行為:
編寫工具:
vc6編寫,upx編寫
傳染條件:
利用lsass溢出漏洞http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx在tcp連線埠445進行溢出傳播.同時在113, 3067和256-8191之間的隨機連線埠開設後門.
發作條件:
運行後將竊聽和泄漏用戶的一些個人數據.

傳播過程

1,刪除病毒初始運行目錄下的Ftpupd.exe檔案
2,通過建立互斥體u8, u9, u10, uterm11, r10來確保只有一個進程運行
3,建立事件對象u11x
4,刪除以下註冊表鍵值:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
Windows Security Manager
Disk Defragmenter
System Restore Service
Bot Loader
WinUpdate
Windows Update Service
avserve.exe
avserve2.exeUpdate Service
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
"Windows Update"="%System%.exe"
6,將自身注入Explorer.exe的進程空間,使用戶難以察覺.
7,在Tcp連線埠113, 3067, 256-8191之間開設後門
8,從以下網站的http server進行病毒自身的更新:
moscow-advokat.ru
fethard.biz
hackers.lv
cvv.ru
www.redline.ru
lovingod.host.sk
filesearch.ru
goldensand.ru
fuck.ru
padonki.org
trojan.ru
asechka.ru
master-x.com
color-bank.ru
kavkaz.ru
crutop.nu
kidos-bank.ru
parex-bank.ru
adult-empire.com
konfiskat.org
citi-bank.ru
xware.cjb.net
mazafaka.ru
同時開設一個獨立執行緒對遠程機器的445連線埠進行溢出攻擊,利用了漏洞:http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
發作現象:
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun會發現一個名為Windows Update的鍵值.
特別說明:

相關詞條

熱門詞條

聯絡我們