病毒名称(中文):
帕拉丁
病毒别名:
威胁级别:
★★★☆☆
病毒类型:
蠕虫病毒
病毒长度:
10752
影响系统:
Win9xWinNTWin2000WinXPWin2003
病毒行为:
编写工具:
vc6编写,upx编写
传染条件:
利用lsass溢出漏洞http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx在tcp端口445进行溢出传播.同时在113,3067和256-8191之间的随机端口开设后门.
发作条件:
运行后将窃听和泄漏用户的一些个人数据.
系统修改:
1,删除病毒初始运行目录下的Ftpupd.exe文件
2,通过建立互斥体u8,u9,u10,uterm11,r10来确保只有一个进程运行
3,建立事件对象u11x
4,删除以下注册表键值:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
WindowsSecurityManager
DiskDefragmenter
SystemRestoreService
BotLoader
WinUpdate
WindowsUpdateService
avserve.exe
avserve2.exeUpdateService
5,添加注册表键值:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
"WindowsUpdate"="%System%.exe"
6,将自身注入Explorer.exe的进程空间,使用户难以察觉.
7,在Tcp端口113,3067,256-8191之间开设后门
8,从以下网站的httpserver进行病毒自身的更新:
moscow-advokat.ru
fethard.biz
hackers.lv
cvv.ru
www.redline.ru
lovingod.host.sk
filesearch.ru
goldensand.ru
fuck.ru
padonki.org
trojan.ru
asechka.ru
master-x.com
color-bank.ru
kavkaz.ru
crutop.nu
kidos-bank.ru
parex-bank.ru
adult-empire.com
konfiskat.org
citi-bank.ru
xware.cjb.net
mazafaka.ru
同时开设一个独立线程对远程机器的445端口进行溢出攻击,利用了漏洞:http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
发作现象:
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun会发现一个名为WindowsUpdate的键值.
非凡说明:
