標籤: 暫無標籤

1基本信息

病毒別名:
處理時間:2004-05-09
威脅級別:★★★★
中文名稱:震蕩波變種E
病毒類型:蠕蟲
影響系統:WinNT/Win2000/WinXP/Win2003

2病毒行為

這是一個惡性網路蠕蟲,利用WINDOWS平台的 Lsass 漏洞進行廣泛傳播,開啟上百個線程不停攻擊其它網上其它系統,嚴重堵塞網路。
和最近出現的大部分蠕蟲病毒不同,該病毒並不通過郵件傳播,而是通過命令易受感染的機器下載特定文件並運行,來達到感染的目的。
1、將自身複製到%SystemRoot%\lsasss.exe (通常為C:\WinNT\或C:\Windows)
2、在註冊表主鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下添加如下鍵值:
"lsasss.exe" = %SystemRoot%\lsasss.exe
3、在註冊表主鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下刪除以下鍵值:
ssgrate.exe
drvsys.exe
Drvddll_exe
此三個鍵值分別為Troj.Mitglieder、Worm.Beagle.W、Worm.Beagle.X三個病毒創建。
4、拷貝其本身至系統目錄:%System%\<4或5位隨機數字>_upload.exe (通常為WinNT\System32或Windows\System32)
5、在C盤根目錄下建立文件ftplog.txt,記錄最近試圖攻擊的IP及攻擊成功的主機的數目
6、它開啟TCP埠1023來建立一個FTP伺服器,用來當作感染其他機器的伺服器。
7、開啟128線程掃描隨機IP,在確定目標可達後會試圖連接目標的的TCP 445埠。如果連接成功,則被感染計算機向被連接機器發動溢出攻擊,溢出成功則會在被連接機器上打開一個shell,並打開1022埠。然後,被攻擊的計算機將會自動連接被感染計算機的1023埠並通過FTP下載蠕蟲的副本,名稱一般為4到5個數字加上"_upload"的組合,如(78456_upload.exe).
8、病毒攻擊時會引啟系統的倒計時重啟或出錯,顯示如下圖
9、病毒啟動後會每隔一秒調用系統API——AbortSystemShutdown 來限制系統重啟或關機,在兩個小時后顯示下面的信息
10、該自運行的蠕蟲通過使用Windows的一個漏洞來傳播[MS04-011 vulnerability (CAN-2003-0907)],關於該漏洞的更多信息請訪問:
http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx
上一篇[梁飛燕]    下一篇 [nachi]

相關評論

同義詞:暫無同義詞