基本介紹
- 中文名:狙擊波變種D
- 外文名:Worm.Zotob.D
- 類型:蠕蟲病毒
- 處理時間:2005年8月17日
基本介紹,病毒行為,
基本介紹
威脅級別:★★★
影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為
1.建立互斥變數"windrg322", 使病毒只有一個在運行.
2.把病毒本身拷貝到:
%System%\wbev\windrg32.exe
3.添加起始項,使病毒開機運行:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinDrg32
"%System%\wbev\windrg32.exe"
4.嘗試連結以下網路來判斷機器的網路是否連通和路由能力;
www.google.com
www.ebay.com
www.yahoo.com
5.嘗試通過TCP 6667連線埠開啟後門,和以下的IRC伺服器建立連結:
xaeti.m00p.org
db23a.hack-syndicate.org
spookystreet.m00p.org
spookystreet.udp-flood.com
6.感染該病毒的機器會接收遠程控制者的控制命令進行以下活動:
下載和運行檔案;
結束進程;
使用數據字典嘗試攻擊用戶密碼;
向www.google.com傳送連結請求;
7.在TCP 1117連線埠開啟FTP服務;
8.嘗試結束以下進程:
pnpsrv.exe
winpnp.exe
csm.exe
botzor.exe
CxtPls.exe
NHUpdater.exe
realsched.exe
qttask.exe
CMESys.exe
EbatesMoeMoneyMaker*.exe
9.刪除註冊表鍵值:
刪除以下鍵中的
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\RunOnce
以下鍵值
"Windows PNP Server"
"Windows PNP"
"csm Win Updates"
"MyWebSearch"
"WINDOWS SYSTEM"
"Zotob"
"MyWay"
"WeatherOnTray"
"Apropos"
"IBIS TB"
"TBPS"
"Toolbar"
"Hotbar"
"CMESys"
"NavExcel"
"ViewMgr"
"eZula"
"EbatesMoeMoneyMaker"
"Ebates"
"AutoUpdater"
"Gator"
"Trickler"
"QuickTime"
"GatorDownloader"
"eZmmod"
"Viewpoint"
"TkBellExe"
"180"
"WinTools"
"Real"
"QuickTime Task"
"sais"
"msbb"
"saie"
"180ax"
"lgbibsn"
"tov"
10.查找並且刪除以下資料夾或者檔案:
%SYSTEM%\pnpsrv.exe
%SYSTEM%\winpnp.exe
%SYSTEM%\csm.exe
%SYSTEM%\botzor.exe
%PROGRAMFILES%\MyWebSearch
%PROGRAMFILES%\MyWebSearch\*.exe
%PROGRAMFILES%\Hotbar
%PROGRAMFILES%\Hotbar\*.exe
%PROGRAMFILES%\MyWay
%PROGRAMFILES%\MyWay\*.exe
%PROGRAMFILES%\180Solutions
%PROGRAMFILES%\180Solutions\*.exe
%PROGRAMFILES%\Common Files\WinTools
%PROGRAMFILES%\Common Files\WinTools\*.exe
%PROGRAMFILES%\Toolbar
%PROGRAMFILES%\Toolbar\*.exe
%PROGRAMFILES%\CxtPls
%PROGRAMFILES%\NavExcel
%PROGRAMFILES%\AutoUpdate
%PROGRAMFILES%\AutoUpdate\AutoUpdate.exe
%PROGRAMFILES%\EbatesMoeMoneyMaker
%PROGRAMFILES%\eZula
%PROGRAMFILES%\eZula\mmod.exe
%PROGRAMFILES%\Common Files\GMT
%PROGRAMFILES%\Common Files\GMT\GMT.exe
%PROGRAMFILES%\Common Files\CMEII
11.產生隨機IP位址,並且嘗試利用Plug and Play(MS05-039漏洞)對TCP445
連線埠進行緩衝區溢出攻擊.
毒檔案名稱為[NUMBER].exe,並且會運行該病毒,該病毒會記錄下已經成功進
行溢出機器IP位址,並且把該地址加到IRC聊天室頻道中.
