病毒类型】Worm
【影响系统】
设有弱口令的网络共享且有RPC/DCOM (MS04-012), LSASS (MS04-011)、IIS5SSL (MS04-011) 漏洞的Windows系统;Unix、NetWare、DOS、OS/2、Macintosh Computers、OpenVMS。
【危险等级】偏高
【特点概述】
(1) 扫描网内其它有此漏洞的电脑。
(2) 开启本地FTP或WEB服务,以便为自己提供网络连接。
(3) 通过DCC或HTTP传播病毒体。
(4) 扫描本地磁盘。
(5) 列出或终止当前系统服务,进程或线程。
(6) 发起SYN,PING、UDP、TCP或ICMP洪水攻击。
(7) 将已感染的电脑作为“肉鸡”。
(8) 开启SOCKS4代理服务。
(9) 重定向TCP连接。
(10) 运行identd服务。
(11) 连接其它IRC服务器或端口。
(12) 执行任意命令。
(13) 开启command-shell 服务。
(14) 伪造寄件人的E-mail地址,发送大量E-mail,阻塞网络。
(15) 远程攻击者可通过IRC信道控制感染系统。
(16) 监控屏幕动作。
(17) 自动连接事先设置好的IRC服务器,等待服务器发送控制指令。
【发作原理】
W32/Rbot-QI是一个具有后门功能的IRC网络蠕虫病毒。感染设有弱口令的网络共享且有RPC/DCOM (MS04-012), LSASS (MS04-011)、IIS5SSL (MS04-011) 漏洞的Windows系统。W32/Rbot-QI一进入系统时,就会扫描硬盘,判断当前系统是否已感染。若有,则取消感染,否则,将“wuacrlt.exe”复制至系统目录中,并修改下列注册表项,以在系统启动时获得运行的机会。
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
*windows update = "wuacrlt.exe"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
*windows update = "wuacrlt.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
*windows update = "wuacrlt.exe"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
*windows update = "wuacrlt.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
*windows update = "wuacrlt.exe"
(注意:病毒进程“wuacrlt.exe”与Windows 自动更新应用程序“wuauclt.exe”很相似,要细心区分啊!!!)
【常见故障】
W32/Rbot-QI发作时,系统就会呈现出病毒特点现象。常见现象有:
(A)造成网络阻塞,无法上网及访问LAN内共享资源。
(B)电脑一接入网络就死机,断开又恢复正常,通过“任务管理”查看到“wuacrlt.exe”占用大量内存,CPU使用率居高不下。
【清除方法】
当系统有上述故障时,很有可能是已中毒。目前,国内部分杀毒软件并不能查杀,用户可以通过手工删除方法清除病毒,详细方法如下:
<1> 请打上RPC/DCOM (MS04-012), LSASS (MS04-011)和IIS5SSL (MS04-011)补丁。
<2> 然后请进入安全模式,查看任务管理中进程“wuacrlt.exe”有无运行,若有则终止,随后再删除下列注册表项中的相关值。
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
*windows update = "wuacrlt.exe"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
*windows update = "wuacrlt.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
*windows update = "wuacrlt.exe"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
*windows update = "wuacrlt.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
*windows update = "wuacrlt.exe"
<3> 删除系统目录下的“wuacrlt.exe”。
<4> 搜索其它盘中是否还有“wuacrlt.exe”,有则删。
<5> 重启系统至正常启动模式,即可。
