病毒名称(中文):
“大师”变种C
病毒别名:
威胁级别:
★★★☆☆
病毒类型:
蠕虫病毒
病毒长度:
35484
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个利用多种系统漏洞进行传播的蠕虫。这些漏洞为MS05-051、MS04-045、MS05-039、SQLHelloExploit漏洞。该病毒会在系统目录释放病毒并运行;该病毒会在用户主机上打开后门,使用户主机受到远程入侵;该病毒会结束反病毒软件进程;该病毒会下载并执行文件。建议用户关闭下列端口tcp42,tcp445,tcp1025,tcp1433。
1,生成文件
%System%\wins\Sqltob.exe
%System%\wins\SqlExp.exe
%System%\wins\SqlExp1.exe
%System%\wins\SqlExp2.exe
%System%\wins\SqlExp3.exe
%System%\wins\SqlScan.exe
%System%\wins\Result.txt
%System%\wins\1433.txt
%System%\wins\1025.txt
%System%\wins\445.txt
%System%\wins\42.txt
2,修改注册表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
"SMBDeviceEnabled"="0"
使系统的安全等级降低。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDTC
"Start"="4"
使系统的安全等级降低。
3,删除注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"WindowsUpdate"
3,结束下列安全软件进程
Blackice.exe
Blackd.exe
EGhost.exe
adam.esystem.exe
Iparmor.exe
Zonealarm.exe
KPFWSvc.EXE
KPfwSvc.EXE
KAVPFW.EXE
KAVPFW.exe
kvfw.exe
RfwMain.exe
rfwsrv.exe
Rfw.exe
PFW.exe
4,该病毒会扫描以下漏洞,并进行攻击传播
MS04-045Windows因特网名称服务(WINS)漏洞,攻击TCP端口42。
MS05-039即插即用中服务漏洞,攻击TCP端口445。
MS05-051MSDTC和COM+漏洞,攻击TCP端口1025。
MSSQLServer漏洞,攻击TCP端口1433。
5,该病毒扫描攻击如下范围的ip地址
%ip1%.%ip2%.1.1—%ip1%.%ip2%.255.254
其中%ip1%、%ip2%随机取下列值
58
59
60
61
62
80
81
82
83
84
85
130
133
140
159
160
162
163
165
168
192
193
194
195
200
202
203
210
211
213
217
218
219
220
221
222
6,该病毒会连接ip为222.240.219.143的主机,tcp端口为53,并等待远程控制命令。
7,该病毒会从159.226.153.2等地址,tcp端口21211下载并执行文件。