基本介紹
- 外文名:Worm.Padobot.p
- 威脅級別::★★
- 中文名稱::潘都伯變種p
- 病毒類型::蠕蟲
- 病毒別名:Worm.Win32.Padobot.
病毒別名,影響系統,傳播過程,
病毒別名
Worm.Win32.Padobot.p[AVP]W32.Korgo.W[諾頓]
影響系統
Win9x/WinNT/Win2K/WinXP/Win2003
傳播過程
A、利用Lsass漏洞(MS04-011)進行傳播
B、
發作條件:
系統修改:
A、複製自身到
%System%\%Rand%.exe
%Rand%為隨機檔案名稱
B、
1、在註冊表主鍵
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
添加如下兩個鍵值之一:
"System Update"="%System%\%Rand%.exe"
"Cryptographic Service"="%System%\%Rand%.exe"
以便在計算機啟動時載入病毒
2、在註冊表主鍵
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWireless
添加如下鍵值:
"Client"="1"
"ID"="%Rand%"
3、刪除註冊表主鍵
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
以下鍵值
"Windows Security Manager"
"Disk Defragmenter"
"System Restore Service"
"Bot Loader"
"SysTray"
"WinUpdate"
"Windows Update Service"
"avserve.exe"
"avserve2.exeUpdate Service"
"MS Config v13"
"Windows Update"
C、如果蠕蟲運行的資料夾內有以下
ftpupd.exe
則刪除
D、創建如下互斥量
u8
u9
u10
u10x
u11
u11x
u12
u12x
u13
u13i
u13x
u14
u14x
u15
u15x
u16
u16x
u17
u17x
u18
u18x
u19
u19-2x
E、嘗試在Explorer.exe 注入一個執行緒,如果成功,則病毒會在進程列表中消失
發作現象:
A、隨機開放一個TCP連線埠,用於向其它計算機傳送病毒。
B、嘗試連線以下網站,以便自動更新病毒自身
adult-empire.com
asechka.ru
citi-bank.ru
color-bank.ru
crutop.nu
cvv.ru
fethard.biz
filesearch.ru
kavkaz.tv
kidos-bank.ru
konfiskat.org
master-x.com
mazafaka.ru
parex-bank.ru
roboxchange.com
www.redline.ru
xware.cjb.net
特別說明: