病毒名称(中文):
潘都伯变种p
病毒别名:
Worm.Win32.Padobot.p[AVP]W32.Korgo.W[诺顿]
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
9359
影响系统:
Win9xWinNTWin2000WinXPWin2003
病毒行为:
潘都伯
编写工具:
传染条件:
A、利用Lsass漏洞(MS04-011)进行传播
B、
发作条件:
系统修改:
A、复制自身到
%System%\%Rand%.exe
%Rand%为随机文件名
B、
1、在注册表主键
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
添加如下两个键值之一:
"SystemUpdate"="%System%\%Rand%.exe"
"CryptographicService"="%System%\%Rand%.exe"
以便在计算机启动时加载病毒
2、在注册表主键
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWireless
添加如下键值:
"Client"="1"
"ID"="%Rand%"
3、删除注册表主键
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
以下键值
"WindowsSecurityManager"
"DiskDefragmenter"
"SystemRestoreService"
"BotLoader"
"SysTray"
"WinUpdate"
"WindowsUpdateService"
"avserve.exe"
"avserve2.exeUpdateService"
"MSConfigv13"
"WindowsUpdate"
C、假如蠕虫运行的文件夹内有以下
ftpupd.exe
则删除
D、创建如下互斥量
u8
u9
u10
u10x
u11
u11x
u12
u12x
u13
u13i
u13x
u14
u14x
u15
u15x
u16
u16x
u17
u17x
u18
u18x
u19
u19-2x
E、尝试在Explorer.exe注入一个线程,假如成功,则病毒会在进程列表中消失
发作现象:
A、随机开放一个TCP端口,用于向其它计算机传送病毒。
B、尝试连接以下网站,以便自动更新病毒自身
adult-empire.com
asechka.ru
citi-bank.ru
color-bank.ru
crutop.nu
cvv.ru
fethard.biz
filesearch.ru
kavkaz.tv
kidos-bank.ru
konfiskat.org
master-x.com
mazafaka.ru
parex-bank.ru
roboxchange.com
www.redline.ru
xware.cjb.net
C、尝试利用Lsass漏洞(MS04-011)——与震荡波病毒利用的漏洞相同,对其它计算机进行溢出攻击。
非凡说明: