病毒名称:
W32.Zotob.I
类别: 蠕虫病毒
病毒资料:
该病毒长度 46,080 字节,感染 windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP 系统,它利用微软即插即用服务漏洞传播(参见微软安全公告MS05-039
http://www.microsoft.com/technet/security/bulletin/ms05-039.mspx),当收到、打开此病毒时,有以下危害:
A 创建 S-Y-B-O-T-By-Sky-Dancer 信号量来识别自身
B 复制自身到系统目录的hpsv.exe
C 增加键值"WINDOWS SYSTEM" = "botzor.exe"到注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\OLE
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
使得病毒每次开机后自动执行
D 打开后门连接到黑客指定的主机 sezen.aydankaya.org 的 TCP 端口 4455,等待黑客指令
E 允许黑客下载执行任意文件
F 打开 FTP 服务器,通过 TCP 端口 19907,让黑客从中毒机中下载复制任意文件
G 从中毒机的 IP 地址起生成系列地址
H 扫描地址是否有微软即插即用服务漏洞(参见微软安全公告MS05-039 http://www.microsoft.com/technet/security/bulletin/ms05-039.mspx)
I 如果成功扫描到,利用漏洞打开一个后门
J 通过后门,发送文件 2pac.txt,这个文件包括 FTP 脚本,来下载蠕虫
K 保存蠕虫为 haha.exe 文件并执行
L 通知 IRC 服务器被感染的 IP 地址,加入染毒列表
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2005-8-22
