這是一個利用微軟漏洞進行傳播的蠕蟲病毒。它利用微軟操作系統的MS08-067漏洞,將自己植入未打補丁的電腦,並以局域網、U盤等多種方式傳播。
病毒運行後會進行以下操作:
1、首先病毒會判斷系統版本是否是 Win2000或 WinXP 以上系統,如果是病毒才繼續執行;
2、給病毒所在進程添加 SeDebugPrivilege 權限,對本機計算機名稱進行 CRC32 計算,通過得到的 CRC32 值創建病毒互斥量,判斷自己是否是 rundll32.exe 程序啟動的;
3、判斷是否能找到"svchost.exe -k netsvcs" 或者explorer.exe 進程,將自己代碼放到那兩個中的一個裡面去,然後修改注冊表不顯示隱藏文件;
4、針對services.exe、"svchost.exe -k netsvcs"、"svchost.exe -k NetworkService"進程進行DNS查詢以及TCP傳輸過程攔截;
5、針對殺毒軟件關鍵字進行過濾,其中包含 rising、avast、nod32、mcafee 等等。使當前中毒計算機無法訪問安全廠商的網站;
6、停止 wscsvc、wuauserv、BITS、WinDefend、Windows Defender、ERSvc、WerSvc服務,並且改為手動;
7、枚舉網絡計算機的用戶名和自帶的密碼表,利用 IPC$; ADMIN$ 共享復制病毒到遠程計算機然後通過Rundll32遠程啟動,創建自身到 RECYCLER、System32文件夾下面,嘗試訪問 http://www.getmyip.org等網站得到中毒計算機的IP。通過訪問http://www.google.com、http://www.baidu.com等等網站得到當前月數。再通過時間經過內置算法計算病毒的升級鏈接,方便病毒作者不更新。
解決方法:
1、及時更新微軟系統補丁(最新微軟漏洞補丁參見“瑞星微軟安全公告);
2、發現上述關鍵系統服務被非人為修改為手動時,及時修改成原系統狀態,配合殺毒軟件查毒(瑞星全功能安全軟件2009 30天免費試用
:http://rsdownload.rising.com.cn/for_down/rsfree/RavD97.exe);
3、局域網中計算機統一規定不能使用弱密碼或者空密碼(更多安全知識參見“瑞星安全頻道);
4、及時升級本機殺毒軟件。
;
