Win32.Worm.Padabot.aa

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

蠕虫病毒

病毒长度:

57856

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是个使用ASPack2.000加壳的网络蠕虫,会通过lsass.exe系统进程漏洞进行攻击,使计算机重启。

1、创建文件

1)病毒会在C盘根目录下创建C:\boot.sys文件,并将文件时间设置成与其它系统文件相同。

2)在%system%目录下生成两个随机文件名的dll文件和xslfdlnt.bat,xslfdlnt.bat随后会被删除。

3)在%system%\drivers\目录下生成文件ndisrd.sys。

4)在%system%目录下生成CIJDEEFE.exe和一个随机文件名的exe文件,其中随机文件名的exe文件是病毒的复制体。

2、修改注册表

创建如下几个键:

HKCR\CLSID\{60B036D5-5089-5674-154F-49DB70122C49}\InProcServer32\(Default)"%system%\(已经创建的一个随机文件名).dll"

HKCR\CLSID\{60B036D5-5089-5674-154F-49DB70122C49}\InProcServer32\ThreadingModel"Apartment"

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\CIJDEEFESUCCESS"{60B036D5-5089-5674-154F-49DB70122C49}"

HKCU\Software\Microsoft\Windows\KKQHOOK0x1E

删除以下键:

HKCU\Software\Microsoft\windows\CurrentVersion\InternetSettings\ProxyServer

HKCU\Software\Microsoft\windows\CurrentVersion\InternetSettings\ProxyOverride

HKCU\Software\Microsoft\windows\CurrentVersion\InternetSettings\AutoConfigURL

3、删除以下服务:

"NortonAntivirusService","PandaAntivirus","ZoneAlarm","DetectordeOfficeScanNT","McAfeeFrameworkService",

"sharedaccess","OutpostFirewall","lnsfw1","sfilter","SmcService","UmxPol","UmxLU","UmxAgent","UmxCfg","kmxagent",

"kmxbig","kmxcfg","kmxfile","kmxids","kmxndis","kmxsbx","vsmon","vsdatant","klif","klpf","klpid"

4、注册服务:

通过在HKLM\\sysytem\\currentcontrolset\\services中添加ndised项来注册服务。

5、为%system%目录下的CIJDEEFE.exe和另一生成的exe文件创建隐藏进程,并挂接API使这两个文件使用一般的资源治理器无法看到。

6、利用lsass.exe系统进程进行攻击,使机器重启。

7、打开端口号从1180到1395,及从1411到1499的端口,在这些端口监听。

8、扫描局域网,并试图建立ipc$连接,通过ipc$连接传播。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航