病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
黑客程序
病毒长度:
88576
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个通过网络共享和irc传播的黑客程序。
该病毒是rbot系列病毒的变种。首先关闭大量安全软件,如avp,pcscan等,然后关闭windows操作系统自带的防火墙,关闭系统自动更新功能。自动连接到irc服务器,自动搜集用户信息发送过去,并接受黑客远程控制。黑客可以通过非凡的命令执行大量破坏操作,如下载包括“冲击波”在内的大量病毒,并且通过修改注册表的方式,把这些病毒添加到自启动项,使开机时病毒自动运行。病毒还试图利用WindowsRPCDCOM接口堆缓冲区溢出漏洞,来提升权限,执行破坏程序。同时病毒会修改host文件,阻止用户访问大量网站。该病毒还能自动查找IPC$,ADMIN$共享,把自身拷贝过去,达到传播的目的。该病毒具有强大的破坏力,会给用户带来很大危害。
1,释放文件到以下目录:
%windows%\ati2vx.exe
2,增加注册表项:
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run
ati2vx.exe=ati2vx.exe
3,自动连接到下列irc服务器,搜集用户信息发送过去,并接受黑客远程控制
146.145.199.47:6667
4,关闭下列进程:
ANTI-TROJAN.EXE
ANTIVIRUS
ANTS
APIMONITOR
ARR
ATCON
ATGUARD
ATRO55EN
ATUPDATER
AUTODOWN
AUPDATE
AVE32
AVGNT
AVKPOP
AVLTMAIN
AVPCC
AVSCHED32
BIDSERVER
BORG2
CDP
CLEANER
CMESYS
CPF9X206
CTRL
DCOMX
等等
4,黑客可以控制用户机器执行下列破坏操作:
下载病毒文件:Mydoom,Netsky,Bagle,Sobig,Blaster;
修改注册表,把病毒添加到自启动项
开启网络共享
重新启动用户机器
5,自动搜索下列共享,把自身传播过去:
IPC$
ADMIN$
C$
D$
6,修改注册表关闭windows防火墙和自动更新:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
7,修改host文件,阻止用户访问大量网站。
securityresponse.symantec.com
symantec.com
www.sophos.com
www.mcafee.com
liveupdate.symantecliveupdate.com
www.viruslist.com
www.f-secure.com
www.avp.com
www.kaspersky.com
www.networkassociates.com
www.my-etrust.com
www.nai.com
www.trendmicro.com
www.grisoft.com
等等
8,还试图利用WindowsRPCDCOM接口堆缓冲区溢出漏洞,来提升权限,执行破坏程序。
