病毒名称:
Worm.Plexus
类别: 蠕虫
病毒资料:
破坏方法:
一个蠕虫病毒,使用VC编写
病毒形为:
病毒运行后,将复制到%system%目录下,文件名为:并在注册表
HKEY_LOCAL_MACHINE\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
中加入自己的键值:InternetServ
网络传播:
病毒通过读取注册表得到共享目录,枚举局域网共享目录并将自己复制过去阻止反病毒软件升级:
病毒修改系统的hosts文件使一些反病毒软件的升级网站指向127.0.0.1 从而导至以下网站将无法正常访问.
后门:
病毒监听1250端口,当有联接时病毒从该端口读取数据生成文件并执行...
病毒作者
利用这个后门对中了病毒的系统进行远程文件上传运行操作.
FTP服务:
病毒自己建立了一个简单的ftp服务线程.,端口号随机.该ftp服务是用来给
被利用漏洞
攻入的系统传送病毒文件的.
漏洞传播:
病毒对当前系统IP地址计算出来的地址尝试RPC和MS-4011漏洞攻击.一旦攻击成功被攻入的系统将利用在攻击者的随机端口(被存放在攻击代码里)上的ftp服务器把病毒文件传送过来并执行,达到传播的目的.
病毒搜索磁盘中以下扩展名的文件:
"txt","PHP","tbb","Html"
尝试从中提取email地址并对其发送病毒邮件.
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-6-7