病毒名称(中文):
考格
病毒别名:
威胁级别:
★★★☆☆
病毒类型:
蠕虫病毒
病毒长度:
10
影响系统:
WinNTWin2000WinXPWin2003
病毒行为:
蠕虫
编写工具:UPX压缩
传染条件:通过微软漏洞MicrosoftSecurityBulletinMS04-011在网络中传播
发作条件:
系统修改:
A、在注册表主键:
"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"下
添加如下键值:"DiskDefragmenter"="%System%<随机名称>.exe"
在注册表主键"HKEY_LOCAL_MACHINEMicrosoft"下
添加子键:"Wireless"
B、在系统目录添加如下文件:
%System%<随机名称>.exe
C、从注册表主键:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
下删除如下键值:
avserve.exe
avserve2.exe
BotLoader
SystemRestoreService
SystemServiceManager
SysTray
WindowsSecurityManager
WindowsUpadateService
WinUpdate
发作现象:
被感染的机器会出现LSASS错误,需要重启的对话框
非凡说明:
A、该病毒自动生成IP,打开TCP端口113,6667,3067,以及随机的端口来实行攻击;
B、同时,该病毒还会打开端口113进行监听,接受其他被感染机器的连接。它还会开启随机端口来接受远程用户的操控以及传输数据。
C、它还会尝试连接以下确定的IRC服务器来实现远程访问被感染机器:
irc.kar.net
gaspode.zanet.org.za
lia.zanet.net
irc.tsk.ru
london.uk.eu.undernet.org
washington.dc.us.undernet.org
los-angeles.ca.us.undernet.org
brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
flanders.be.eu.undernet.org
graz.at.eu.undernet.org
gaz-prom.ru
moscow-advokat.ru