基本介紹
- 軟體名稱:Worm.Win32.DDos.a
- 軟體平台:VC6.0
- 軟體大小:40,960位元組
- 主要傳播途徑:網路傳播、區域網路傳播、黑客攻
- 鍵值::Client Server Runtime
病毒分析,相關信息,
病毒分析
該蠕蟲程式激活後,在%systemroot%/system32下隨機生成一個檔案名稱類似系統程式或常用軟體的檔案(如:Isass.exe,winamp.exe,csrs.exe等),其檔案類型為隱藏的系統檔案;用命令行啟動winamp.exe程式;修改註冊表,在HKLM下的RUN中新建名為Client Server Runtime Process的項使病毒能隨系統的啟動而運行;添加Windows防火牆規則,使winamp.exe與外部通信不被攔截;枚舉區域網路地址,試圖通過弱口令在區域網路中傳播感染其它主機;通過註冊表查找用戶計算機上的FlashFXP的檔案路徑,從size.dat檔案中獲取用戶使用的ftp及tftp地址,通過弱口令進入FTP並傳播病毒;在後台開啟一個CMD進程,並與黑客進行連線,接受黑客指令,當滿足一定的的條件時便向指定的伺服器發起攻擊。
病毒添加的註冊表項:
項:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Process
指向檔案:C:\WINDOWS\system32\winamp.exe
相關信息
病毒修改的註冊表項:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
鍵值:C:\WINDOWS\system32\ winamp.exe
指向檔案:C:\WINDOWS\system32\ winamp.exe:*:Enabled:Client Server Runtime Process
感染對象
Windows 98\ Windows ME\Windows 2000/Windows XP/Windows 2003
傳播途徑
網路傳播、區域網路傳播、黑客攻擊
安全提示www.
如果您沒有將微點主動防禦軟體升級到最新版,微點主動防禦軟體在發現該病毒後將報警提示您“發現未知木馬”,請直接選.擇刪除處理.
如果您已經將微點主動防禦軟體升級到最新版本,微點將報警.提示您發現Worm.Win32.DDos.a”,請直接選擇刪除.
www
