病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
199680
影响系统:
WinNTWin2000WinXPWin2003
病毒行为:
这是一个后门病毒,它利用了WindowsDNS服务器的RPC漏洞进行传播,
并开放一个后门端口,接受黑客的控制指令.
1:拷贝病毒体
病毒运行后,会把自己拷贝到系统目录下
%system%\\mdnex.exe
之后病毒体会自删除
2:添加自启动项
病毒会添加自启动项
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
MicrosoftDNSx="%system%\\mdnex.exe"
使自己能随Windows启动.
3:连接IRC接受命令
病毒会打开一个随机端口,并连接以下3个IRC
is.wayne.brady.gonna.have.to.choke******.us
symantec.has.sand.in.its.******.xxx
x.*****ewaffles.us
接受并响应黑客发出的指令,使计算机成为僵尸网络的一部分.
4:病毒传播
病毒会会随机生成一个IP,并向该IP地址发送数据包,利用DNS服务远程溢出漏洞(1025端口)和
远程服务溢出漏洞(139端口)进行传播,该数据包是经过非凡设计的,使该IP的计算机的栈溢出,
并运行数据包中的ShellCode,而ShellCode正是下载和运行病毒体的代码,使远程计算机下载
http://www.******.com/radi.exe到C:\\radi.exe上,并运行此文件.
但病毒体不会向此IP段发送数据包:
192.168.*.*
10.*.*.*
111.*.*.*
15.*.*.*
16.*.*.*
101.*.*.*
110.*.*.*
112.*.*.*
170.65.*.*
172.*.*.*
该漏洞存在于以下打开了DNS服务(DomainNameSystem)的服务器系统:
Windows2000ServerServicePack4
WindowsServer2003ServicePack1
WindowsServer2003ServicePack2
建议用户及时打补丁,对于DNS服务的漏洞,微软暂无相应的补丁,但可以通过修改注册表禁止DNS服务的RPC功能,
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters下创建一个名为"RpcProtocol"的
DWORD值,并设定数值为4,然后重启DNS服务.若非必要时建议关闭DNS服务,并禁止445端口的TCP与UDP连接,
1024,1025端口未明的访问.