病毒名称:
Worm.Win32.Francette.f.enc
类别: 蠕虫
病毒资料:
破坏方法:
利用DCOM RPC漏洞进行传播的蠕虫病毒
病毒运行后修改注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
添加数据项"Microsoft IIS"
以达到其自启动的目的。
随机生成一个IP地址,并试图与这个IP进行连接。
如果连接成功,病毒将对该主机的TCP 135端口发送数据以检测该主机是否存在病毒所利用的DCOM RPC漏洞。
如果该主机存在病毒所利用的漏洞,病毒将发送一个特殊的数据包使病毒代码能够在对方主机上运行,导致对方主机到指定的网址下载病毒文件。
成功入侵后,病毒将会以一个特定的昵称加入指定的IRC频道,为其控制端提供远程控制服务。
建议用户到"WWW.Microsoft.com"网站下载"Microsoft Security Bulletin MS03-026"补丁程序并安装。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-1-9