病毒名称:
W32.Spybot.NYT
类别: 蠕虫病毒
病毒资料:
该病毒感染windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP系统。它通过网络共享传播,发动分布式拒绝服务攻击,打开后门,偷取系统安全信息,破解弱口令,搜寻系统漏洞;当收到、打开此病毒时,有以下危害:
A 它复制自身到系统目录的文件win32xpsys.exe
B 创建注册表项 "Microsoft Xp Systems loaders" = "win32xpsys.exe"到
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\OLE\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\OLE\
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa\
使得每次系统开机后病毒自动运行
C 通过TCP端口2442打开后门连接到IRC频道的p0w3r.chillenderwijs.info主机,等待黑客进一步指令。
D 执行以下黑客指令
·下载运行任意文件
·列出,停止或开始系统进程和线程
·发动ACK, SYN, UDP, 和ICMP的分布式拒绝服务攻击
·进行端口重定向
·通过 IRC 窃取任意文件
·使用自身的SMTP 发送病毒邮件
·启动本地HTTP, FTP,或 TFTP 服务
·在感染病毒计算机中查找文件
·记录键盘操作
·搜寻网络共享并传播病毒
·通过端口扫描搜寻弱口令计算机
·截屏,打开摄像头并发送到网上
·记录 URL访问
·清除DNS和ARP 缓存
·在感染病毒计算机中打开命令行窗口并执行任意口令
·启动一个 SOCKS4 代理服务
·添加和删除网络共享并关闭DCOM
·重起计算机
·截取局域网数据报信息
·从内存中获取当前用户名及口令
·发送网络“消息”
·删除其他程序和有害数据的注册表项
E 扫描局域网中计算机的以下漏洞
微软DCOM RPC缓冲区溢出漏洞MS03-026,参见:
http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx
微软本地安全认证远程缓冲区溢出漏洞MS04-011,参见:
http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
通过UDP端口1434攻击微软SQL Server 2000 和 MSDE 2000审核弱点,MS02-061,参见http://www.microsoft.com/technet/security/bulletin/MS02-061.mspx
F 通过后门植入以下病毒及变种:
Beagle, Sasser, Mydoom, Backdoor.NetDevil, Backdoor.Subseven, Backdoor.Kuang, Backdoor.Optix.
G 使用随机的IP地址,搜寻弱口令计算机传播自身
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2005-4-18