首页 | 互联网 | IT动态 | IT培训 | Cisco | Windows | Linux | Java | .Net | Oracle | 软件测试 | C/C++ | 嵌入式开发 | 存储世界 | 服务器
网络设备 | IDC | 安全 | 求职招聘 | 数字网校 | 网页设计 | 平面设计 | 技术专题 | 电子书下载 | 教学视频 | 源码下载 | 搜索 | 博客 | 论坛
 您现在的位置: 中国IT实验室 >> 安全 >> 病毒专区 >> 正文


“魔波(Worm.Mocbot.a)”蠕虫病毒分析报告

文章来源ChinaItLab 作者佚名 更新时间2006-8-24 保存本文保存本文 推荐给好友推荐给好友 收藏本页收藏本页  进入论坛
欢迎进入网络安全论坛,与200万技术人员互动交流 >>进入

病毒名称:魔波(Worm.Mocbot.a)
     魔波变种B(Worm.Mocbot.b)

文件类型:PE

驻留内存:

文件大小:9,313 bytes  MD5: 2bf2a4f0bdac42f4d6f8a062a7206797(Worm.Mocbot.a)
     9,609 bytes  MD5: 9928a1e6601cf00d0b7826d13fb556f0(Worm.Mocbot.b)

发现日期:2006-8-14

危害等级:★★★★

受影响系统:Windows2000/XP

该病毒利用MS06-040漏洞进行传播。传播过程中可导致系统服务崩溃,网络连接被断开等现象。



 
被感染的计算机会自动连接指定的IRC服务器,被黑客远程控制,同时还会自动从互联网下载的一个名为“等级代理木马变种AWP(Trojan.Proxy.Ranky.awp)”的木马病毒。

分析报告:

一、 生成文件:

“魔波(Worm.Mocbot.a)”病毒运行后,将自身改名为“wgavm.exe”并复制到%SYSTEM%中。

“魔波变种B(Worm.Mocbot.b)”病毒运行后,将自身改名为“wgareg.exe”并复制到%SYSTEM%中。

二、 启动方式:

病毒会创建系统服务,实现随系统启动自动运行的目的。

“魔波(Worm.Mocbot.a)”:

服务名: wgavm

显示名: Windows Genuine Advantage Validation Monitor

描述: Ensures that your copy of Microsoft Windows is genuine. Stopping or disabling this service will result in system instability.

“魔波变种B(Worm.Mocbot.b)”

服务名: wgareg

显示名: Windows Genuine Advantage Registration Service

描述: Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.

三、 修改注册表项目,禁用系统安全中心和防火墙

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
AntiVirusDisableNotify = "dword:00000001"
AntiVirusOverride = "dword:00000001"
FirewallDisableNotify = "dword:00000001"
FirewallDisableOverride = "dword:00000001"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
EnableDCOM = "N"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous = "dword:00000001"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess
Start = "dword:00000004"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
WindowsFirewall\DomainProfile
EnableFirewall = "dword:00000000"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
WindowsFirewall\StandardProfile
EnableFirewall = "dword:00000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
lanmanserver\parameters
AutoShareWks = "dword:00000000"
AutoShareServer = "dword:00000000"

四、 连接IRC服务器,接受黑客指令

自动连接ypgw.wallloan.com、bniu.househot.com服务器,接受指令。使中毒计算机可被黑客远程控制。

五、 试图通过AIM(Aol Instant Messegger)传播

会在AIM(Aol Instant Messegger)中发送消息,在消息中包含一个URL(下载地址),如果用户点击地址并下载该地址的程序,则好友列表里的人都将收到该条包含URL的消息。

六、 利用MS06-040漏洞传播

该病毒会利用Microsoft Windows Server服务远程缓冲区溢出漏洞(MS06-040 Microsoft Windows的Server服务在处理RPC通讯中的恶意消息时存在溢出漏洞,远程攻击者可以通过发送恶意的RPC报文来触发这个漏洞,导致执行任意代码)

微软的补丁地址:http://www.microsoft.com/technethttp://security.chinaitlab.com/bulletin/ms06-040.mspx?pf=true

七、 自动在后台下载其它病毒

会自动从互联网上下载名为“等级代理木马变种AWP(Trojan.Proxy.Ranky.awp)”,该病毒会在用户计算机TCP随机端口上开置后门。

【责编:Peng】


相关文章
蠕虫病毒降低系统安全级别 删除注册表
4月25日病毒播报:小心"BHO劫持者"蠕虫病毒
MSN蠕虫病毒再度肆虐 狂发诱惑性消息
4月1日病毒播报:小心“虫尾巴”蠕虫病毒
蠕虫Win32.Masha.A修改系统设置终止进程
蠕虫病毒感染程序 图标形似黑色炸弹
蠕虫病毒Win32.Looked.KF生成DLL文件
黑客知识系列之解析并防范蠕虫病毒
热点文章
 文章评论
 精彩友情推荐
  • Asp源码 PHP源码
  • CGI源码 JSP源码
  • 建站书籍教程
  • 服务器软件 .net源码
  • 建站工具软件
    		•
  • IDC资讯大全
  • 机房品质万里行
  • IDC托管必备知识
  • 全国IDC报价
  • 网站推广优化
    		•

     最新更新
     技术专题