病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
10879
影响系统:
Win9xWinNTWin2000WinXPWin2003
病毒行为:
编写工具:
upx压缩
传染条件:
发作条件:
这个蠕虫在TCP135端口上扫描随机的IP地址范围以搜索轻易攻击的系统。它试图使用MS03-026修补的的DCOMRPC漏洞。一旦Exploit代码被发送到一个系统,它将通过TFTP从某个远程系统下载和执行MSBLAST.EXE文件。
系统修改:
该蠕虫将创建注册表键:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"windowsautoupdate"=msblast.exeIjustwanttosayLOVEYOUSAN!!bill
从而获得自动运行机会。
发作现象:
典型的症状是在没有用户输入的情况下,系统每隔几分钟重新启动。客户可能还会看到:
A>存在不同平常的TFTP*文件
B>在WINDOWSSYSTEM32目录中存在msblast.exe文件
C>假如是irc用户,有时会出现不正常的频道加入和文件传输。
D>自动从Internet下载文件。
E>向别的机器发动RPC漏洞攻击,端口为135.
非凡说明:
