病毒名称(中文):
大师
病毒别名:
威胁级别:
★★★☆☆
病毒类型:
蠕虫病毒
病毒长度:
影响系统:
WinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个蠕虫病毒,利用微软分布式事务处理协调器服务漏洞(MicrosoftWindowsDistributedTransactionCoordinator,MicrosoftSecurityBulletinMS05-051)传播,该服务使用tcp1025端口。
病毒自己以RAR压缩后,发送出去
1.创建以下文件
%systemroot%\Temp\SqlExp.exe,病毒的破坏程序
%systemroot%\Temp\Sqlrep.exe,命令解析器
%systemroot%\Temp\SqlScan.exe,端口扫描程序
%systemroot%\Temp\Sqltob.exe,蠕虫的主程序
2.添加注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"WindowsUpdate"="%windir%\Temp\Sqltob.exe"
3.传建以下和溢出相关的文件
%systemroot%\Temp\SqlScan.bat
%systemroot%\Temp\log.txt
%systemroot%\Temp\Temp.txt
%systemroot%\Temp\Result.txt
4.使用SqlScan.bat去调用SqlScan.exe,来查找有该漏洞的主机
5.产生以下范围ip地址去攻击
A.A.1.1--B.B.255.254
A和B从以下数字58,59,60,61,62,80,81,82,83,84,85,130,133,140,160,162,163,165,168,193,194,195,200,202,203,210,211,213,217,218,219,220,221,222中随机抽取
6.假如远程计算机存在该漏洞,就会对该系统发出ShellCode,来溢出该计算机,溢出成功后该计算机会连向222.240.219.143,并且等待远程的控制
