病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
32050
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个通过漏洞传播的蠕虫病毒,病毒运行后会扫描网络上存在漏洞的主机传播自己,并从网上下载一个后门病毒文件,运行并等待连接。
1、添加如下注册表键值:
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
"C:\WINDOWS\system32\mmsvc32.exe"="mmsvc32"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"MicrosoftNetworkServicesController"="C:\WINDOWS\system32\mmsvc32.exe"
2、将自己拷贝到%System%\mmsvc32.exe并运行
3、连接下面的IP地址:
89.93.56.169
81.177.28.87
81.176.67.217
4、病毒运行后会不停的扫描网络,寻找存在漏洞的系统传播
5、生成%system%\downloader.exe和C:\DocumentsandSettings\Admin\Local
Settings\TemporaryInternetFiles\Content.IE5\QFINUBKP\downloader[
1].exe并从http://web.cplnn.com/bbot.exe下载后门病毒文件到:%System%
\bbot.exe
6、运行bbot.exe复制自己到:%system%\spools.exe并运行监听端口
7、修改%system%\drivers\ect\hosts文件
8、生成病毒文件:%system%\parad.raw.exe并连接远程主机的25端口