病毒别名:
处理时间:2004-04-16
威胁级别:★
中文名称:
病毒类型:蠕虫
影响系统:Windows 2000, Windows XP
病毒行为:
编写工具:
传染条件:
通过 TCP 端口 135 利用 DCOM RPC 漏洞(如Microsoft 安全公告 MS02-026 中所述)。该蠕虫利用此漏洞专门攻击 Windows XP 计算机。
通过 TCP 端口 80 利用 WebDav 漏洞(如 Microsoft 安全公告 MS03-007 中所述)。该蠕虫利用此漏洞专门攻击运行 Microsoft IIS 5.0 的计算机。该蠕虫利用这些漏洞,将会影响 Windows 2000 系统,并可能影响 Windows NT/XP 系统。
通过 TCP 端口 445 利用 Workstation 服务缓冲区溢出漏洞(如 Microsoft 安全公告 MS03-049 中所述)。
通过 TCP 端口 445 利用 Locator 服务漏洞(如 Microsoft 安全公告 MS03-001 中所述)。该蠕虫利用此漏洞专门攻击 Windows 2000 计算机
发作条件:
系统修改:
1,创建一个名为“WksPatch_Mutex”的互斥体。此互斥仅允许一个蠕虫实例在内存中执行。
2,将自身复制为 %System%driverssvchost.exe
3,创建下列服务:
服务名称:WksPatch
服务二进制文件:%System%driverssvchost.exe
服务显示名:结构形式为 %string1% %string2% %string3%,其中:
%string1% 为下列项目之一:
System
Security
Remote
Routing
Performance
Network
License
Internet
%string2% 为下列项目之一:
Logging
Manager
Procedure
Accounts
Event
%string3% 为下列项目之一:
Provider
Sharing
Messaging
Client
例如,服务显示名可能为“Security Logging Sharing”。
如果存在名为“RpcPatch”的服务,请将其删除。
4,通过查找以下注册表键,检查是否存在 W32.Mydoom.A@mm 和 W32.Mydoom.B@mm 蠕虫:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
ExplorerComDlg32Version
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
ExplorerComDlg32Version
将尝试删除 W32.Mydoom.A@mm 和 W32.Mydoom.B@mm 蠕虫。该蠕虫通过执行下列操作实现这一点:
删除下列文件:
%System%ctfmon.dll
%System%Explorer.exe
%System%shimgapi.dll
%System%TaskMon.exe
从注册表键删除值“Taskmon”:
HEKY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionRun
5,还原下列值:
"@"="%SystemRoot%System32webcheck.dll"
该值位于以下注册表键:
HKEY_LOCAL_MACHINECLSID
InProcServer32
6,用下列文本覆盖 HOSTS 文件:
#
#
127.0.0.1 localhost
生成随机 IP 地址,然后向这些 IP 地址发送利用的数据,以尝试感染系统:
向 TCP 端口 135 发送数据以利用 DCOM RPC 漏洞。
向 TCP 端口 80 发送数据以利用 WebDav 漏洞。
向 TCP 端口 445 发送数据以利用 Workstation 服务漏洞。
向 TCP 端口 445 发送数据以利用 Locator 服务漏洞。
在随机 TCP 端口上运行 HTTP 服务器,以便存在漏洞的计算机可以重新连接到受感染计算机,然后进行本地下载并将蠕虫作为 WksPatch.exe 执行。
如果受感染计算机的操作系统版本为日文版,请在 IIS Virtual Roots 和 %Windir%HelpIISHelpcommon 文件夹中搜索具有下列扩展名的文件:
.shtml
.shtm
.stm
.cgi
.php
.html
.htm
.asp
7,如果受感染计算机上安装的是中文、朝鲜语或英语版的操作系统,从 Microsoft Windows Update 网站下载下列补丁之一:
download.microsoft.com/download/4/d/3/4d375d48-04c7-411f-959b-3467c5ef1e9a
/WindowsXP-KB828035-x86-CHS.exe
download.microsoft.com/download/a/4/3/a43ea017-9abd-4d28-a736-2c17dd4d7e59
/WindowsXP-KB828035-x86-KOR.exe
download.microsoft.com/download/e/a/e/eaea4109-0870-4dd3-88e0-a34035dc181a
/WindowsXP-KB828035-x86-ENU.exe
download.microsoft.com/download/9/c/5/9c579720-63e9-478a-bdcb-70087ccad56c
/Windows2000-KB828749-x86-CHS.exe
download.microsoft.com/download/0/8/4/084be8b7-e000-4847-979c-c26de0929513
/Windows2000-KB828749-x86-KOR.exe
download.microsoft.com/download/3/c/6/3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9
/Windows2000-KB828749-x86-ENU.exe
8,安装补丁,然后重新启动计算机。
该蠕虫将在 2004 年 6 月 1 日或运行 120 天之后(二者中较早的日期)自行终止
发作现象:
特别说明: