Worm.Padobot.t

病毒別名：

處理時間：

威脅級別：★★

中文名稱：

病毒類型：蠕蟲

影響系統：Win9x / WinNT

病毒行為:

這是一個利用系統LSASS緩衝區溢出漏洞（MS04-011）傳播的蠕蟲病毒。該病毒通過一個DLL檔案傳播到遠程機器上，病毒運行後會利用LSASS緩衝區溢出漏洞在TCP 445連線埠嘗試連線到隨機的IP位址上，並將自己上傳到成功接入的機器中運行。嘗試從一個指定的遠程主機上下載一個病毒到本地系統中運行，向某些域傳送HTTP請求。

1)向註冊表中添加新的鍵值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DataAccess

"SQL"="[12個隨機的ASCII碼字元]"

2)利用LSASS緩衝區溢出漏洞在TCP 445連線埠嘗試連線到隨機的IP位址上

3)將自己上傳到成功接入的機器中運行

4)嘗試從一個指定的遠程主機上下載一個病毒到本地系統中運行

5)嘗試聯繫下列某個域的PHP腳本來傳送已控制主機的信息：

citi-bank.ru

color-bank.ru

kidos-bank.ru

parex-bank.ru

www.redline.ru

6)向下列域傳送HTTP請求：

adult-empire.com

bankofny.com

citi-bank.ru

citibank.com

crutop.nu

cvv.ru

fethard.biz

filesearch.ru

kaspersky.com

konfiskat.org

master-x.com

prodexteam.net

roboxchange.com

www.kaspersky.com

www.pandasoftware.com

www.riaa.com

www.sophos.com

www.symantec.com

www.trendmicro.com

xware.cjb.net