病毒名称:
Worm.Win32.Padobot.m
类别: 蠕虫病毒
病毒资料:
破坏方法:
一个蠕虫病毒,采用upx压缩
病毒行为:
病毒运行后将自己复制到%system%目录下,文件名为:%随机字符%.exe并在注册表:
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\Currentversion\Run中加入自己的键值:
"Cryptographic Service"
= %随机字符%.exe 以达到随系统启动的目的.
随后病毒驻留内存实现以下功能:
1.盗取用户信息:
当病毒发现有窗口标题含有以下字串时,将监视用户键盘信息等,并将其上传到一个特定网站.
www.redline.ru
filesearch.ru
roboxchange.com
fethard.biz
asechka.ru
master-x.com
color-bank.ru
kavkaz.tv
crutop.nu
kidos-bank.ru
parex-bank.ru
adult-empire.com
konfiskat.org
citi-bank.ru
xware.cjb.net
mazafaka.ru
....
2.网络传播:
病毒根据当前系统ip地址,进行随机计算得到目标系统ip并尝试进行MS04011漏洞的攻击.
(病毒会根据目标系统使用的smb协议版本推算出目标系统的操作系统版本,从而提高攻击命中率.)一但成功,被攻击系统将利用tFTP到攻击发动者这里下载病毒文件,并运行,从而达到传播目的.
3.杀毒黑名单进程.
病毒体内包含一份很短的黑名单,病毒不断的遍历系统进程列表,当发现有和黑名单相符的进程时,将其杀死。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2005-1-4