Worm.Win32.Padobot.m

王朝system·作者佚名  2008-05-31
窄屏简体版  字體: |||超大  

病毒名称:

Worm.Win32.Padobot.m

类别: 蠕虫病毒

病毒资料:

破坏方法:

一个蠕虫病毒,采用upx压缩

病毒行为:

病毒运行后将自己复制到%system%目录下,文件名为:%随机字符%.exe并在注册表:

HKEY_LOCAL_MACHINE\Software\Microsoft

\Windows\Currentversion\Run中加入自己的键值:

"Cryptographic Service"

= %随机字符%.exe 以达到随系统启动的目的.

随后病毒驻留内存实现以下功能:

1.盗取用户信息:

当病毒发现有窗口标题含有以下字串时,将监视用户键盘信息等,并将其上传到一个特定网站.

www.redline.ru

filesearch.ru

roboxchange.com

fethard.biz

asechka.ru

master-x.com

color-bank.ru

kavkaz.tv

crutop.nu

kidos-bank.ru

parex-bank.ru

adult-empire.com

konfiskat.org

citi-bank.ru

xware.cjb.net

mazafaka.ru

....

2.网络传播:

病毒根据当前系统ip地址,进行随机计算得到目标系统ip并尝试进行MS04011漏洞的攻击.

(病毒会根据目标系统使用的smb协议版本推算出目标系统的操作系统版本,从而提高攻击命中率.)一但成功,被攻击系统将利用tFTP到攻击发动者这里下载病毒文件,并运行,从而达到传播目的.

3.杀毒黑名单进程.

病毒体内包含一份很短的黑名单,病毒不断的遍历系统进程列表,当发现有和黑名单相符的进程时,将其杀死。

病毒的清除法:

使用光华反病毒软件,彻底删除。

病毒演示:

病毒FAQ:

Windows下的PE病毒。

发现日期:

2005-1-4

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航