病毒名称(中文):
“冲击波克星”变种
病毒别名:
Worm.Win32.WelChia.b[AVP]
威胁级别:
★★★☆☆
病毒类型:
蠕虫病毒
病毒长度:
12800
影响系统:
WinNTWin2000WinXPWin2003
病毒行为:
“冲击波克星”蠕虫
编写工具:VC6.0,UPX压缩
传染条件:通过以下系统漏洞传播:
RemoteProcedureCall(RPC)DistributedComponentObjectModel(DCOM)vulnerability(使用TCP端口135)MS03-026
WebDAVvulnerability(使用TCP端口80)MS03-007
IIS5/WEBDAVBufferOverrunvulnerabilityMS03-049
LocatorservicevulnerabilityMS03-001
发作条件:攻击日文的操作系统
系统修改:
A、在注册表中添加以下键值:
1)HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWksPatch------添加了该键后,每当系统启动时,该病毒就能以服务的形式运行
Type=dword:00000010
Start=dword:00000002
ErrorControl=dword:00000000
ImagePath
DisplayName="随机生成的值"
ObjectName="LocalSystem"
Description="Maintainsanup-to-datelistofcomputersonyournetworkandsuppliesthelisttoprogramsthatrequestit."
DisplayName由三组字符串组成:
%字符串1%%字符串2%%字符串3%
每次会分别从每组字符串中随机取出一个字符串来组成一个完整的名字
字符串1:
Security
Remote
Routing
Performance
Network
License
Internet
System
Browser
字符串2:
Manager
Procedure
Accounts
Event
Logging
字符串3:
Sharing
Messaging
Client
Provider
2)HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWksPatchSecuritySecurity
B、假如以下注册表键值存在,该病毒会将其删除:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
C、假如以下键值被MYDOOM病毒修改了,该病毒也会将它用WEBCHECK.DLL覆盖
D、该病毒会将其自身拷贝在%System32%drivers目录下,文件名为:SVCHOST.EXE
发作现象:
A、假如系统不是日文,那么该病毒不会对系统造成什么危害,反而会为系统打上相关的补丁:http://download.microsoft.com/download/4/d/3/4d375d48-04c7-411f-959b-3467c5ef1e9a/WindowsXP-KB828035-x86-CHS.exe
http://download.microsoft.com/download/a/4/3/a43ea017-9abd-4d28-a736-2c1...
http://download.microsoft.com/download/e/a/e/eaea4109-0870-4dd3-88e0-a34...
http://download.microsoft.com/download/9/c/5/9c579720-63e9-478a-bdcb-700...
http://download.microsoft.com/download/0/8/4/084be8b7-e000-4847-979c-c26...
http://download.microsoft.com/download/3/c/6/3c6d56ff-ff8e-4322-84cb-3bf...
B、假如为日文系统,那么该病毒会从注册表VirtualRoots及IISHelpfolders中读取路径,并尝试用病毒体内带的一个网页文件替换此路径下的文件。该网页的截图见图
非凡说明: