天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

“魔波(Worm.Mocbot.a)”蠕虫病毒分析报告

2008-2-18瑞星公司佚名

  病毒名称:魔波(Worm.Mocbot.a)
       魔波变种B(Worm.Mocbot.b)
  
  文件类型:PE
  
  驻留内存:是
  
  文件大小:9,313 bytes  MD5: 2bf2a4f0bdac42f4d6f8a062a7206797(Worm.Mocbot.a)
       9,609 bytes  MD5: 9928a1e6601cf00d0b7826d13fb556f0(Worm.Mocbot.b)
  
  发现日期:2006-8-14
  
  危害等级:★★★★
  
  受影响系统:Windows2000/XP
  
  该病毒利用MS06-040漏洞进行传播。传播过程中可导致系统服务崩溃,网络连接被断开等现象。
  
  
  
  
   
  被感染的计算机会自动连接指定的IRC服务器,被黑客远程控制,同时还会自动从互联网上下载的一个名为“等级代理木马变种AWP(Trojan.Proxy.Ranky.awp)”的木马病毒。
  
  分析报告:
  
  一、 生成文件:
  
  “魔波(Worm.Mocbot.a)”病毒运行后,将自身改名为“wgavm.exe”并复制到%SYSTEM%中。
  
  “魔波变种B(Worm.Mocbot.b)”病毒运行后,将自身改名为“wgareg.exe”并复制到%SYSTEM%中。
  
  二、 启动方式:
  
  病毒会创建系统服务,实现随系统启动自动运行的目的。
  
  “魔波(Worm.Mocbot.a)”:
  
  服务名: wgavm
  
  显示名: Windows Genuine Advantage Validation Monitor
  
  描述: Ensures that your copy of Microsoft Windows is genuine. Stopping or disabling this service will result in system instability.
  
  “魔波变种B(Worm.Mocbot.b)”
  
  服务名: wgareg
  
  显示名: Windows Genuine Advantage Registration Service
  
  描述: Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.
  
  三、 修改注册表项目,禁用系统安全中心和防火墙等
  
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
  AntiVirusDisableNotify = "dword:00000001"
  AntiVirusOverride = "dword:00000001"
  FirewallDisableNotify = "dword:00000001"
  FirewallDisableOverride = "dword:00000001"
  
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
  EnableDCOM = "N"
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  restrictanonymous = "dword:00000001"
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
  Services\SharedAccess
  Start = "dword:00000004"
  
  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
  WindowsFirewall\DomainProfile
  EnableFirewall = "dword:00000000"
  
  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
  WindowsFirewall\StandardProfile
  EnableFirewall = "dword:00000000"
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
  lanmanserver\parameters
  AutoShareWks = "dword:00000000"
  AutoShareServer = "dword:00000000"
  
  四、 连接IRC服务器,接受黑客指令
  
  自动连接ypgw.wallloan.com、bniu.househot.com服务器,接受指令。使中毒计算机可被黑客远程控制。
  
  五、 试图通过AIM(Aol Instant Messegger)传播
  
  会在AIM(Aol Instant Messegger)中发送消息,在消息中包含一个URL(下载地址),如果用户点击地址并下载该地址的程序,则好友列表里的人都将收到该条包含URL的消息。
  
  六、 利用MS06-040漏洞传播
  
  该病毒会利用Microsoft Windows Server服务远程缓冲区溢出漏洞(MS06-040 Microsoft Windows的Server服务在处理RPC通讯中的恶意消息时存在溢出漏洞,远程攻击者可以通过发送恶意的RPC报文来触发这个漏洞,导致执行任意代码)
  
  微软的补丁地址:http://www.microsoft.com/technet/security/bulletin/ms06-040.mspx?pf=true
  
  七、 自动在后台下载其它病毒
  
  会自动从互联网上下载名为“等级代理木马变种AWP(Trojan.Proxy.Ranky.awp)”,该病毒会在用户计算机TCP随机端口上开置后门。

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理,安装维护:


本文来源:瑞星公司 作者:佚名

声明
本文来源地址:0
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com.,本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行