“魔波(Worm.Mocbot.a)”蠕虫病毒分析报告[图]
[size=3][/size] [size=3][b]病毒名称:[/b]魔波(Worm.Mocbot.a)
魔波变种B(Worm.Mocbot.b)
[b]文件类型:[/b]PE
[b]驻留内存:[/b]是
[b]文件大小:[/b]9,313 bytes MD5: 2bf2a4f0bdac42f4d6f8a062a7206797(Worm.Mocbot.a)
9,609 bytes MD5: 9928a1e6601cf00d0b7826d13fb556f0(Worm.Mocbot.b)
[b]发现日期:[/b]2006-8-14
[b]危害等级:[/b]★★★★
[b]受影响系统:[/b]Windows2000/XP[/size]
[size=3]该病毒利用MS06-040漏洞进行传播。传播过程中可导致系统服务崩溃,网络连接被断开等现象。[/size]
[align=center][size=3][url=http://it.rising.com.cn/Channels/imgs/h000/h11/img200608161345220.jpg][img]http://it.rising.com.cn/Channels/imgs/h000/h11/img200608161345220.jpg[/img][/url][/size][/align][size=3]
被感染的计算机会自动连接指定的IRC服务器,被黑客远程控制,同时还会自动从互联网上下载的一个名为“等级代理木马变种AWP(Trojan.Proxy.Ranky.awp)”的木马病毒。[/size]
[size=3][b][color=#ff0000]分析报告:
[/color]
一、 生成文件:
[/b]
“魔波(Worm.Mocbot.a)”病毒运行后,将自身改名为“wgavm.exe”并复制到%SYSTEM%中。
“魔波变种B(Worm.Mocbot.b)”病毒运行后,将自身改名为“wgareg.exe”并复制到%SYSTEM%中。[/size]
[size=3][b]二、 启动方式:
[/b]
病毒会创建系统服务,实现随系统启动自动运行的目的。[/size]
[size=3][b]“魔波(Worm.Mocbot.a)”:[/b]
服务名: wgavm
显示名: Windows Genuine Advantage Validation Monitor
描述: Ensures that your copy of Microsoft Windows is genuine. Stopping ordisabling this service will result in system instability.[/size]
[size=3][b]“魔波变种B(Worm.Mocbot.b)”
[/b]
服务名: wgareg
显示名: Windows Genuine Advantage Registration Service
描述: Ensures that your copy of Microsoft Windows is genuine andregistered. Stopping or disabling this service will result in systeminstability.[/size]
[size=3][b]三、 修改注册表项目,禁用系统安全中心和防火墙等
[/b]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
AntiVirusDisableNotify = "dword:00000001"
AntiVirusOverride = "dword:00000001"
FirewallDisableNotify = "dword:00000001"
FirewallDisableOverride = "dword:00000001"[/size]
[size=3]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
EnableDCOM = "N" [/size]
[size=3]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictan[/size]
[size=3]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess
Start = "dword:00000004"[/size]
[size=3]HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
WindowsFirewall\DomainProfile
EnableFirewall = "dword:00000000" [/size]
[size=3]HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
WindowsFirewall\StandardProfile
EnableFirewall = "dword:00000000" [/size]
[size=3]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
lanmanserver\parameters
AutoShareWks = "dword:00000000"
AutoShareServer = "dword:00000000"
[b]四、 连接IRC服务器,接受黑客指令
[/b]
自动连接ypgw.wallloan.com、bniu.househot.com服务器,接受指令。使中毒计算机可被黑客远程控制。[/size]
[size=3][b]五、 试图通过AIM(Aol Instant Messegger)传播
[/b]
会在AIM(Aol Instant Messegger)中发送消息,在消息中包含一个URL(下载地址),如果用户点击地址并下载该地址的程序,则好友列表里的人都将收到该条包含URL的消息。[/size]
[size=3][b]六、 利用MS06-040漏洞传播
[/b]
该病毒会利用Microsoft WindowsServer服务远程缓冲区溢出漏洞(MS06-040 MicrosoftWindows的Server服务在处理RPC通讯中的恶意消息时存在溢出漏洞,远程攻击者可以通过发送恶意的RPC报文来触发这个漏洞,导致执行任意代码)[/size]
[size=3]微软的补丁地址:[url=http://www.microsoft.com/technet/security/bulletin/ms06-040.mspx?pf=true]http://www.microsoft.com/technet/security/bulletin/ms06-040.mspx?pf=true[/url][/size]
[size=3][b]七、 自动在后台下载其它病毒[/b]
会自动从互联网上下载名为“等级代理木马变种AWP(Trojan.Proxy.Ranky.awp)”,该病毒会在用户计算机TCP随机端口上开置后门。[/size] 能把魔波病毒的症状再说说就好了.
页:
[1]