病毒名稱:魔波(Worm.Mocbot.a) 魔波變種B(Worm.Mocbot.b)文件類型:PE駐留內存:是文件大小:9,313 bytes MD5: 2bf2a4f0bdac42f4d6f8a062a7206797(Worm.Mocbot.a) 9,609 bytes MD5: 9928a1e6601cf00d0b7826d13fb556f0(Worm.Mocbot.b)發現日期:2006-8-14危害等級:★★★★受影響系統:Windows2000/XP
該病毒利用MS06-040漏洞進行傳播。傳播過程中可導致系統服務崩潰,網絡連接被斷開等現象。
被感染的計算機會自動連接指定的IRC服務器,被黑客遠程控制,同時還會自動從互聯網上下載的一個名為“等級代理木馬變種AWP(Trojan.Proxy.Ranky.awp)”的木馬病毒。
分析報告:一、 生成文件:“魔波(Worm.Mocbot.a)”病毒運行後,將自身改名為“wgavm.exe”並復制到%SYSTEM%中。“魔波變種B(Worm.Mocbot.b)”病毒運行後,將自身改名為“wgareg.exe”並復制到%SYSTEM%中。
二、 啟動方式:病毒會創建系統服務,實現隨系統啟動自動運行的目的。
“魔波(Worm.Mocbot.a)”:服務名: wgavm顯示名: Windows Genuine Advantage Validation Monitor描述: Ensures that your copy of Microsoft Windows is genuine. Stopping or disabling this service will result in system instability.
“魔波變種B(Worm.Mocbot.b)”服務名: wgareg顯示名: Windows Genuine Advantage Registration Service描述: Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.
三、 修改注冊表項目,禁用系統安全中心和防火牆等HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center AntiVirusDisableNotify = "dword:00000001" AntiVirusOverride = "dword:00000001" FirewallDisableNotify = "dword:00000001" FirewallDisableOverride = "dword:00000001"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole EnableDCOM = "N"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa restrictanonymous = "dword:00000001"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccessStart = "dword:00000004"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile EnableFirewall = "dword:00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile EnableFirewall = "dword:00000000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters AutoShareWks = "dword:00000000"AutoShareServer = "dword:00000000"四、 連接IRC服務器,接受黑客指令自動連接ypgw.wallloan.com、bniu.househot.com服務器,接受指令。使中毒計算機可被黑客遠程控制。
五、 試圖通過AIM(Aol Instant Messegger)傳播會在AIM(Aol Instant Messegger)中發送消息,在消息中包含一個URL(下載地址),如果用戶點擊地址並下載該地址的程序,則好友列表裡的人都將收到該條包含URL的消息。
六、 利用MS06-040漏洞傳播該病毒會利用Microsoft Windows Server服務遠程緩沖區溢出漏洞(MS06-040 Microsoft Windows的Server服務在處理RPC通訊中的惡意消息時存在溢出漏洞,51自學網,遠程攻擊者可以通過發送惡意的RPC報文來觸發這個漏洞,導致執行任意代碼)
微軟的補丁地址:://security.chinaitlab.com/bulletin/ms06-040.mspx?pf=true
七、 自動在後台下載其它病毒會自動從互聯網上下載名為“等級代理木馬變種AWP(Trojan.Proxy.Ranky.awp)”,該病毒會在用戶計算機TCP隨機端口上開置後門。