病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
36352
影响系统:
Win9xWinNT
病毒行为:
这是一个利用系统LSASS缓冲区溢出漏洞(MS04-011)传播的蠕虫病毒。该病毒通过一个DLL文件传播到远程机器上,病毒运行后会利用LSASS缓冲区溢出漏洞在TCP445端口尝试连接到随机的IP地址上,并将自己上传到成功接入的机器中运行。尝试从一个指定的远程主机上下载一个病毒到本地系统中运行,向某些域发送HTTP请求。
1)向注册表中添加新的键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DataAccess
"SQL"="[12个随机的ASCII码字符]"
2)利用LSASS缓冲区溢出漏洞在TCP445端口尝试连接到随机的IP地址上
3)将自己上传到成功接入的机器中运行
4)尝试从一个指定的远程主机上下载一个病毒到本地系统中运行
5)尝试联系下列某个域的PHP脚本来发送已控制主机的信息:
citi-bank.ru
color-bank.ru
kidos-bank.ru
parex-bank.ru
www.redline.ru
6)向下列域发送HTTP请求:
adult-empire.com
bankofny.com
citi-bank.ru
citibank.com
crutop.nu
cvv.ru
fethard.biz
filesearch.ru
kaspersky.com
konfiskat.org
master-x.com
prodexteam.net
roboxchange.com
www.kaspersky.com
www.pandasoftware.com
www.riaa.com
www.sophos.com
www.symantec.com
www.trendmicro.com
xware.cjb.net
