Win32.Worm.Padabot.aa

病毒名稱(中文):

病毒別名:

威脅級別:

★☆☆☆☆

病毒類型:

蠕蟲病毒

病毒長度:

57856

影響系統:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行爲:

這是個使用ASPack2.000加殼的網絡蠕蟲,會通過lsass.exe系統進程漏洞進行攻擊,使計算機重啓。

1、創建文件

1)病毒會在C盤根目錄下創建C:\boot.sys文件,並將文件時間設置成與其它系統文件相同。

2)在%system%目錄下生成兩個隨機文件名的dll文件和xslfdlnt.bat,xslfdlnt.bat隨後會被刪除。

3)在%system%\drivers\目錄下生成文件ndisrd.sys。

4)在%system%目錄下生成CIJDEEFE.exe和一個隨機文件名的exe文件,其中隨機文件名的exe文件是病毒的複制體。

2、修改注冊表

創建如下幾個鍵:

HKCR\CLSID\{60B036D5-5089-5674-154F-49DB70122C49}\InProcServer32\(Default)"%system%\(已經創建的一個隨機文件名).dll"

HKCR\CLSID\{60B036D5-5089-5674-154F-49DB70122C49}\InProcServer32\ThreadingModel"Apartment"

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\CIJDEEFESUCCESS"{60B036D5-5089-5674-154F-49DB70122C49}"

HKCU\Software\Microsoft\Windows\KKQHOOK0x1E

刪除以下鍵:

HKCU\Software\Microsoft\windows\CurrentVersion\InternetSettings\ProxyServer

HKCU\Software\Microsoft\windows\CurrentVersion\InternetSettings\ProxyOverride

HKCU\Software\Microsoft\windows\CurrentVersion\InternetSettings\AutoConfigURL

3、刪除以下服務:

"NortonAntivirusService","PandaAntivirus","ZoneAlarm","DetectordeOfficeScanNT","McAfeeFrameworkService",

"sharedaccess","OutpostFirewall","lnsfw1","sfilter","SmcService","UmxPol","UmxLU","UmxAgent","UmxCfg","kmxagent",

"kmxbig","kmxcfg","kmxfile","kmxids","kmxndis","kmxsbx","vsmon","vsdatant","klif","klpf","klpid"

4、注冊服務:

通過在HKLM\\sysytem\\currentcontrolset\\services中添加ndised項來注冊服務。

5、爲%system%目錄下的CIJDEEFE.exe和另一生成的exe文件創建隱藏進程,並挂接API使這兩個文件使用一般的資源治理器無法看到。

6、利用lsass.exe系統進程進行攻擊,使機器重啓。

7、打開端口號從1180到1395,及從1411到1499的端口,在這些端口監聽。

8、掃描局域網,並試圖建立ipc$連接,通過ipc$連接傳播。

I-Worm.Netsky.aa
病毒名稱: I-Worm.Netsky.aa 類別: 蠕蟲病毒 病毒資料: 破壞方法: Netsky病毒變種。采用VC編寫,用ASPack加殼。 首次運行後將自身拷...查看完整版>>I-Worm.Netsky.aa
 
I-Worm/Bagz.aa
病毒名稱: I-Worm/Bagz.aa 類別: 網絡蠕蟲 病毒資料: 中 文 名:“袋子”變種aa 病毒長度:42497字節 危害等級:★ 影...查看完整版>>I-Worm/Bagz.aa
 
Win32.MyGod.aa
病毒名稱(中文): 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 其它 病毒長度: 19738影響系統:Win9xWinMeWinNTWin2000WinXPWin2003病毒行爲: 該病毒是windows平台的感染型病毒,感染非系統磁盤的...查看完整版>>Win32.MyGod.aa
 
Win32.PanVar.aa
病毒名稱(中文): 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 其它 病毒長度: 589671影響系統:Win9xWinMeWinNTWin2000WinXPWin2003病毒行爲: 該病毒是一個感染型病毒,會感染所有的文件。建議電...查看完整版>>Win32.PanVar.aa
 
Win32.Error31.aa.141312
病毒名稱(中文): 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 其它 病毒長度: 141312影響系統:Win9xWinMeWinNTWin2000WinXPWin2003病毒行爲: 這是個以感染用戶計算機文件爲目的的感染型病毒。 ...查看完整版>>Win32.Error31.aa.141312
 
Win32.Dntboot.aa
病毒名稱(中文): 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 其它 病毒長度: 37376影響系統:Win9xWinMeWinNTWin2000WinXPWin2003病毒行爲: 該病毒是Windows平台下的感染行病毒,感染含有部分....查看完整版>>Win32.Dntboot.aa
 
Win32.Hack.Wootbot.aa
病毒名稱(中文): 病毒別名: 威脅級別: ★★☆☆☆ 病毒類型: 黑客程序 病毒長度: 331776影響系統:Win9xWinNT病毒行爲: 這是一種集IRC後門、蠕蟲功能于一體的,以盜取盜取序列號爲主要目的的木...查看完整版>>Win32.Hack.Wootbot.aa
 
Win32.Hack.Wisdoor.aa
病毒名稱(中文): 病毒別名: 威脅級別: ★★☆☆☆ 病毒類型: 黑客程序 病毒長度: 17486影響系統:Win9xWinNT病毒行爲: 這是一個黑客程序,一般帶有惡意性質。...查看完整版>>Win32.Hack.Wisdoor.aa
 
Win32.Troj.Wisdoor.aa
病毒名稱(中文): 病毒別名: 威脅級別: ★★☆☆☆ 病毒類型: 木馬程序 病毒長度: 19859影響系統:Win9xWinNT病毒行爲: 這是一個特洛依木馬程序。會僞裝成一個常用軟件,而事實上卻試圖做的其他...查看完整版>>Win32.Troj.Wisdoor.aa
 
 
回到王朝網路移動版首頁