病毒名称:
W32.Kwbot.Worm
类别: 特洛伊木马、蠕虫
病毒资料:
传播:
1.端口:随机变化;
2.感染目标:KaZaZ共享文件夹;
技术特征:
该蠕虫同时具有后门木马的功能,会让黑客控制受害电脑。它能在互联网上通过检测最新版本来自动更新自身。
此蠕虫会伪装成流行的电影、游戏或软件等格式文件,试图欺骗KaZaA用户下载并打开某个程序而达到通过KaZaA文件共享网络传播的目的。运行后,它会:
1.生成C:%System%EXPlorer32.exe;
2.添加键值Windows Explorer Update Build 1142 C:%SYSTEM%EXPLORER32.EXE
至注册表键HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices,这会使得Windows启动时病毒自动运行。
3.会随机地打开TCP端口来与黑客连接。
另外,此病毒含有自己的IRC客户端,这会使它与某个安装了木马的IRC通道连接,使用此通道时,木马会监听黑客发送的命令。黑客通过使用Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'密码保护权限来访问此木马。其中来自黑客的命令会让黑客执行如下任何操作:
1.管理木马的安装;
2.控制受害电脑上的IRC客户端;
3.动态更新安装的木马;
4.向其他IRC通道发送木马,以试图危害更多的电脑;
5.下载可执行文件;
6.向黑客传送系统及网络数据;
7.向黑客指定的目标发运DOS攻击;
8.删除相关的注册表键来完全卸载自己。
如何传播:
注意:此病毒的传播需要受害电脑上安装了KaZaA软件。
它首先搜索Windows注册表以查找KaZaA共享文件夹。其他KaZaA用户可从此位置下载文件。之后,病毒可从自身携带的名字列表中随机选取许多不同的名字再拷贝自身至此文件夹中。以下是其中一些文件名:
Sum of all Fears SVCD CD3.exe
Star Wars Episode 2 - Attack of the Clones VCD CD2.exe
Spiderman SVCD CD3.exe
Grand Theft Auto 3 CD2 ISO.exe
Playstation 2 PS2 Emulator.exe
Windows XP Home to Professional Upgrade.exe
Windows XP backdoor hack.exe
windows 2000 win2k passWord stealer.exe
Microsoft Office XP Upgrade (from older versions).exe
Macromedia Flash 5 Ultimate Study Guide.exe
ZoneAlarm Firewall Pro.exe
Norton Internet Security 2002.exe
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Kwbot病毒通过KaZaA文件共享网络传播。
发现日期:
2002-6-18