病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
13824
影响系统:
Win2000WinXP
病毒行为:
编写工具:
传染条件:
通过TCP端口135利用DCOMRPC漏洞(如Microsoft安全公告MS02-026中所述)。该蠕虫利用此漏洞专门攻击WindowsXP计算机。
通过TCP端口80利用WebDav漏洞(如Microsoft安全公告MS03-007中所述)。该蠕虫利用此漏洞专门攻击运行MicrosoftIIS5.0的计算机。该蠕虫利用这些漏洞,将会影响Windows2000系统,并可能影响WindowsNT/XP系统。
通过TCP端口445利用Workstation服务缓冲区溢出漏洞(如Microsoft安全公告MS03-049中所述)。
通过TCP端口445利用Locator服务漏洞(如Microsoft安全公告MS03-001中所述)。该蠕虫利用此漏洞专门攻击Windows2000计算机
发作条件:
系统修改:
1,创建一个名为“WksPatch_Mutex”的互斥体。此互斥仅答应一个蠕虫实例在内存中执行。
2,将自身复制为%System%driverssvchost.exe
3,创建下列服务:
服务名称:WksPatch
服务二进制文件:%System%driverssvchost.exe
服务显示名:结构形式为%string1%%string2%%string3%,其中:
%string1%为下列项目之一:
System
Security
Remote
Routing
Performance
Network
License
Internet
%string2%为下列项目之一:
Logging
Manager
Procedure
Accounts
Event
%string3%为下列项目之一:
Provider
Sharing
Messaging
Client
例如,服务显示名可能为“SecurityLoggingSharing”。
假如存在名为“RpcPatch”的服务,请将其删除。
4,通过查找以下注册表键,检查是否存在W32.Mydoom.A@mm和W32.Mydoom.B@mm蠕虫:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
ExplorerComDlg32Version
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
ExplorerComDlg32Version
将尝试删除W32.Mydoom.A@mm和W32.Mydoom.B@mm蠕虫。该蠕虫通过执行下列操作实现这一点:
删除下列文件:
%System%ctfmon.dll
%System%Explorer.exe
%System%shimgapi.dll
%System%TaskMon.exe
从注册表键删除值“Taskmon”:
HEKY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionRun
5,还原下列值:
"@"="%SystemRoot%System32webcheck.dll"
该值位于以下注册表键:
HKEY_LOCAL_MACHINECLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
InProcServer32
6,用下列文本覆盖HOSTS文件:
#
#
127.0.0.1localhost
生成随机IP地址,然后向这些IP地址发送利用的数据,以尝试感染系统:
向TCP端口135发送数据以利用DCOMRPC漏洞。
向TCP端口80发送数据以利用WebDav漏洞。
向TCP端口445发送数据以利用Workstation服务漏洞。
向TCP端口445发送数据以利用Locator服务漏洞。
在随机TCP端口上运行HTTP服务器,以便存在漏洞的计算机可以重新连接到受感染计算机,然后进行本地下载并将蠕虫作为WksPatch.exe执行。
假如受感染计算机的操作系统版本为日文版,请在IISVirtualRoots和%Windir%Help\IISHelpcommon文件夹中搜索具有下列扩展名的文件:
.shtml
.shtm
.stm
.cgi
.php
.html
.htm
.asp
7,假如受感染计算机上安装的是中文、朝鲜语或英语版的操作系统,从MicrosoftWindowsUpdate网站下载下列补丁之一:
download.microsoft.com/download/4/d/3/4d375d48-04c7-411f-959b-3467c5ef1e9a
/WindowsXP-KB828035-x86-CHS.exe
download.microsoft.com/download/a/4/3/a43ea017-9abd-4d28-a736-2c17dd4d7e59
/WindowsXP-KB828035-x86-KOR.exe
download.microsoft.com/download/e/a/e/eaea4109-0870-4dd3-88e0-a34035dc181a
/WindowsXP-KB828035-x86-ENU.exe
download.microsoft.com/download/9/c/5/9c579720-63e9-478a-bdcb-70087ccad56c
/Windows2000-KB828749-x86-CHS.exe
download.microsoft.com/download/0/8/4/084be8b7-e000-4847-979c-c26de0929513
/Windows2000-KB828749-x86-KOR.exe
download.microsoft.com/download/3/c/6/3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9
/Windows2000-KB828749-x86-ENU.exe
8,安装补丁,然后重新启动计算机。
该蠕虫将在2004年6月1日或运行120天之后(二者中较早的日期)自行终止
发作现象:
非凡说明:
