萬盛學電腦網

 萬盛學電腦網 >> 健康知識 >> “魔波(Worm.Mocbot.a)”蠕蟲病毒分析報告

“魔波(Worm.Mocbot.a)”蠕蟲病毒分析報告

·黑客知識之解析並防范蠕蟲病毒·用Delphi來編寫蠕蟲病毒淺析·高危害級別W32網絡蠕蟲病毒擴散·實例解析蠕蟲病毒的原理·病毒報告:Zotob蠕蟲病毒可導致系統頻繁·通過移動設備傳播的蠕蟲病毒·蠕蟲病毒制作·木馬蠕蟲病毒危害空前嚴重 PC上網12分·深入了解網絡蠕蟲病毒·進入新年全球傳播 高危蠕蟲病毒威脅電

病毒名稱:魔波(Worm.Mocbot.a)     魔波變種B(Worm.Mocbot.b)文件類型:PE駐留內存:是文件大小:9,313 bytes MD5: 2bf2a4f0bdac42f4d6f8a062a7206797(Worm.Mocbot.a)     9,609 bytes MD5: 9928a1e6601cf00d0b7826d13fb556f0(Worm.Mocbot.b)發現日期:2006-8-14危害等級:★★★★受影響系統:Windows2000/XP

該病毒利用MS06-040漏洞進行傳播。傳播過程中可導致系統服務崩潰,網絡連接被斷開等現象。

被感染的計算機會自動連接指定的IRC服務器,被黑客遠程控制,同時還會自動從互聯網上下載的一個名為“等級代理木馬變種AWP(Trojan.Proxy.Ranky.awp)”的木馬病毒。

分析報告:一、 生成文件:“魔波(Worm.Mocbot.a)”病毒運行後,將自身改名為“wgavm.exe”並復制到%SYSTEM%中。“魔波變種B(Worm.Mocbot.b)”病毒運行後,將自身改名為“wgareg.exe”並復制到%SYSTEM%中。

二、 啟動方式:病毒會創建系統服務,實現隨系統啟動自動運行的目的。

“魔波(Worm.Mocbot.a)”:服務名: wgavm顯示名: Windows Genuine Advantage Validation Monitor描述: Ensures that your copy of Microsoft Windows is genuine. Stopping or disabling this service will result in system instability.

“魔波變種B(Worm.Mocbot.b)”服務名: wgareg顯示名: Windows Genuine Advantage Registration Service描述: Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.

三、 修改注冊表項目,禁用系統安全中心和防火牆等HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center AntiVirusDisableNotify = "dword:00000001" AntiVirusOverride = "dword:00000001" FirewallDisableNotify = "dword:00000001" FirewallDisableOverride = "dword:00000001"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole EnableDCOM = "N"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa restrictanonymous = "dword:00000001"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccessStart = "dword:00000004"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile EnableFirewall = "dword:00000000"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile EnableFirewall = "dword:00000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters AutoShareWks = "dword:00000000"AutoShareServer = "dword:00000000"四、 連接IRC服務器,接受黑客指令自動連接ypgw.wallloan.com、bniu.househot.com服務器,接受指令。使中毒計算機可被黑客遠程控制。

五、 試圖通過AIM(Aol Instant Messegger)傳播會在AIM(Aol Instant Messegger)中發送消息,在消息中包含一個URL(下載地址),如果用戶點擊地址並下載該地址的程序,則好友列表裡的人都將收到該條包含URL的消息。

六、 利用MS06-040漏洞傳播該病毒會利用Microsoft Windows Server服務遠程緩沖區溢出漏洞(MS06-040 Microsoft Windows的Server服務在處理RPC通訊中的惡意消息時存在溢出漏洞,51自學網,遠程攻擊者可以通過發送惡意的RPC報文來觸發這個漏洞,導致執行任意代碼)

微軟的補丁地址:://security.chinaitlab.com/bulletin/ms06-040.mspx?pf=true

七、 自動在後台下載其它病毒會自動從互聯網上下載名為“等級代理木馬變種AWP(Trojan.Proxy.Ranky.awp)”,該病毒會在用戶計算機TCP隨機端口上開置後門。

copyright © 萬盛學電腦網 all rights reserved