病毒别名:
处理时间:
威胁级别:★★★
中文名称:帕拉丁
病毒类型:蠕虫
影响系统:Win9x/WinNT/Win2K/WinXP/Win2003
病毒行为:
编写工具:
vc6编写,upx编写
传染条件:
利用lsass溢出漏洞http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx在tcp端口445进行溢出传播.同时在113, 3067和256-8191之间的随机端口开设后门.
发作条件:
运行后将窃听和泄漏用户的一些个人数据.
系统修改:
1,删除病毒初始运行目录下的Ftpupd.exe文件
2,通过建立互斥体u8, u9, u10, uterm11, r10来确保只有一个进程运行
3,建立事件对象u11x
4,删除以下注册表键值:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
Windows Security Manager
Disk Defragmenter
System Restore Service
Bot Loader
WinUpdate
Windows Update Service
avserve.exe
avserve2.exeUpdate Service
5,添加注册表键值:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
"Windows Update"="%System%.exe"
6,将自身注入Explorer.exe的进程空间,使用户难以察觉.
7,在Tcp端口113, 3067, 256-8191之间开设后门
8,从以下网站的http server进行病毒自身的更新:
moscow-advokat.ru
fethard.biz
hackers.lv
cvv.ru
www.redline.ru
lovingod.host.sk
filesearch.ru
goldensand.ru
fuck.ru
padonki.org
trojan.ru
asechka.ru
master-x.com
color-bank.ru
kavkaz.ru
crutop.nu
kidos-bank.ru
parex-bank.ru
adult-empire.com
konfiskat.org
citi-bank.ru
xware.cjb.net
mazafaka.ru
同时开设一个独立线程对远程机器的445端口进行溢出攻击,利用了漏洞:http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
发作现象:
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun会发现一个名为Windows Update的键值.
特别说明: