| 本月文章推荐 |
Worm.Welchia.l发表日期:2007-12-23
|
|
病毒名称:
Worm.Welchia.l
类别: 蠕虫
病毒资料:
破坏方法:
“冲击波杀手”变种 一个利用多个漏洞进行传播的蠕虫病毒 病毒行为: 病毒运行后将自己复制到%System%\drivers\svchost.exe并在注册表中加入一个服务名为: WksPatch,其文件路径指向%System%\drivers\svchost.exe。服务显示名为以下三组字符串随机的组合。 字串组1: System Security Remote Routing Performance Network License Internet 字串组2: Logging Manager Procedure Accounts Event 字串组3: Provider Sharing Messaging Client 修改主页: 病毒判断当前系统是否为日文系统,如果是病毒从注册表 SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots及IIS Help folders中读取路径并尝试搜索用病毒体内带的一个Html文件替换。 将被替换的文件扩展名为: .ASP,.htm,.html,.PHP,.cgi,.stm,.shtm,.shtml 病毒体内的文件内容: LET HISTORY TELL FUTURE ! 1931.9.18 1937.7.7 1937.12.13 300,000 ! 1941.12.7 1945.8.6 Little boy 1945.8.9 Fatso 1945.8.15 Let history tell future ! 清除Worm.MyDoom.a,Worm.MyDoom.b病毒: 当前系统不是日文系统的话,并统中了Worm.MyDoom的话,病毒将尝试清除掉。并清楚病毒留下的后门。 补丁下载: 当前系统是英文,韩文或简繁中文的话,病毒将利用系统注册表尝试判断去microsoft的网站下载相应的补丁包。并运行。 漏洞攻击: 病毒随机产成ip地址尝试利用以下四个漏洞进行攻击。(病毒的一个漏洞溢出点是从本地系统的动态库中搜出:ws2_32.dll,rtutils.dll,mprapi.dll,这样对使用同样系统的局域网攻击目标成功率将提高。) 1.DCOM RPC 2.WebDav vulnerability. 3.Workstation Service vulnerability 4.Locator service vulnerability. 病毒后门: 病毒监听一个随机的端口做为一个http服务器:当收到Get WksPatch.exe请求后, 向请求发送WksPatch.exe文件。 病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。 发现日期: 2004-5-26 |
| 上一篇:Worm.Korgo.a.enc
人气:444 下一篇:Worm.Party 人气:480 |
| 浏览全部病毒数据库的内容
Dreamweaver插件下载 网页广告代码 祝你圣诞节快乐 2009年新年快乐 |
