Worm.Welchia.e

簡介

病毒別名：Worm.win32.Welchia.e[avp]

處理時間：2004-03-10

威脅級別：★★★

中文名稱：衝擊波剋星變種E

病毒類型：蠕蟲

影響系統：Windows 2000,Windows XP

病毒行為：

“衝擊波剋星”系例

編寫工具：

vc,upx壓縮

傳染條件：

該病毒只會對具有RPC漏洞、WebDAV 漏洞、ⅡS5/WEBDAV漏洞和Locator service 漏洞的WINDOWS系統進行傳播。

發作條件：

系統修改

A、檢查互斥體"WksPatch_Mutex.",只允許一個實例運行.

B、自我複製到 %System%DriversSvchost.exe.

C、創建以下服務

服務名： WksPatch

服務程式： %System%DriversSvchost.exe

服務描述：從以下三種字元串中組合：

1> System

Security

Remote

Routing

Performance

Network

License

Internet

2> Logging

Manager

Procedure

Accounts

Event

3> Provider

Sharing

Messaging

Client

D、刪除名為"RpcPatch"的服務（這個服務是由衝擊波剋星系列創建的）

E、檢測以下病毒是否存在：

Worm.Mydoom.A,Worm.Mydoom.B,Worm.Doomjuice,and Worm.Doomjuice.B

感染跡象

F、如果存在以上病毒則有以下現象：

1>；結束下列進程：

%System%intrenat.exe (Worm.Doomjuice)

%System%Regedit.exe (Worm.Doomjuice.B)

%System%Taskmon.exe (Worm.Mydoom.A)

%System%Explorer.exe (Worm.Mydoom.B)

2>；刪除和以上病毒有關的檔案，如：

%System%shimgapi.dll (The .dll associated with Worm.Mydoom.A)

%System%ctfmon.dll (The .dll associated with Worm.Mydoom.B)

Worm.Welchia.e

基本介紹

簡介

系統修改

感染跡象

相關詞條

熱門詞條