“魔波（Worm.Mocbot.a）”蠕蟲病毒分析報告

·黑客知識之解析並防范蠕蟲病毒·用Delphi來編寫蠕蟲病毒淺析·高危害級別W32網絡蠕蟲病毒擴散·實例解析蠕蟲病毒的原理·病毒報告:Zotob蠕蟲病毒可導致系統頻繁·通過移動設備傳播的蠕蟲病毒·蠕蟲病毒制作·木馬蠕蟲病毒危害空前嚴重 PC上網12分·深入了解網絡蠕蟲病毒·進入新年全球傳播 高危蠕蟲病毒威脅電

病毒名稱：魔波（Worm.Mocbot.a）　　　　　魔波變種B（Worm.Mocbot.b）文件類型：PE駐留內存：是文件大小：9,313 bytes MD5: 2bf2a4f0bdac42f4d6f8a062a7206797（Worm.Mocbot.a）　　　　　9,609 bytes MD5: 9928a1e6601cf00d0b7826d13fb556f0（Worm.Mocbot.b）發現日期：2006-8-14危害等級：★★★★受影響系統：Windows2000/XP

該病毒利用MS06-040漏洞進行傳播。傳播過程中可導致系統服務崩潰，網絡連接被斷開等現象。

被感染的計算機會自動連接指定的IRC服務器，被黑客遠程控制，同時還會自動從互聯網上下載的一個名為“等級代理木馬變種AWP（Trojan.Proxy.Ranky.awp）”的木馬病毒。

分析報告：一、 生成文件：“魔波（Worm.Mocbot.a）”病毒運行後，將自身改名為“wgavm.exe”並復制到%SYSTEM%中。“魔波變種B（Worm.Mocbot.b）”病毒運行後，將自身改名為“wgareg.exe”並復制到%SYSTEM%中。

二、 啟動方式：病毒會創建系統服務，實現隨系統啟動自動運行的目的。

“魔波（Worm.Mocbot.a）”：服務名: wgavm顯示名: Windows Genuine Advantage Validation Monitor描述: Ensures that your copy of Microsoft Windows is genuine. Stopping or disabling this service will result in system instability.

“魔波變種B（Worm.Mocbot.b）”服務名: wgareg顯示名: Windows Genuine Advantage Registration Service描述: Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.

三、 修改注冊表項目，禁用系統安全中心和防火牆等HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center AntiVirusDisableNotify = "dword:00000001" AntiVirusOverride = "dword:00000001" FirewallDisableNotify = "dword:00000001" FirewallDisableOverride = "dword:00000001"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole EnableDCOM = "N"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa restrictanonymous = "dword:00000001"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccessStart = "dword:00000004"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile EnableFirewall = "dword:00000000"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile EnableFirewall = "dword:00000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters AutoShareWks = "dword:00000000"AutoShareServer = "dword:00000000"四、 連接IRC服務器，接受黑客指令自動連接ypgw.wallloan.com、bniu.househot.com服務器，接受指令。使中毒計算機可被黑客遠程控制。

五、 試圖通過AIM(Aol Instant Messegger)傳播會在AIM(Aol Instant Messegger)中發送消息，在消息中包含一個URL(下載地址)，如果用戶點擊地址並下載該地址的程序，則好友列表裡的人都將收到該條包含URL的消息。

六、 利用MS06-040漏洞傳播該病毒會利用Microsoft Windows Server服務遠程緩沖區溢出漏洞（MS06-040 Microsoft Windows的Server服務在處理RPC通訊中的惡意消息時存在溢出漏洞，51自學網，遠程攻擊者可以通過發送惡意的RPC報文來觸發這個漏洞，導致執行任意代碼)

微軟的補丁地址：://security.chinaitlab.com/bulletin/ms06-040.mspx?pf=true

七、 自動在後台下載其它病毒會自動從互聯網上下載名為“等級代理木馬變種AWP（Trojan.Proxy.Ranky.awp）”，該病毒會在用戶計算機TCP隨機端口上開置後門。