魔波病毒,“魔波(Worm.Mocbot.a)”蠕虫病毒分析报告

“魔波(Worm.Mocbot.a)”蠕虫病毒分析报告 - 电脑安全 - 电脑教程网

“魔波(Worm.Mocbot.a)”蠕虫病毒分析报告

日期:2006-04-04   荐:
·黑客知识之解析并防范蠕虫病毒·用Delphi来编写蠕虫病毒浅析·高危害级别W32网络蠕虫病毒扩散·实例解析蠕虫病毒的原理·病毒报告:Zotob蠕虫病毒可导致系统频繁·通过移动设备传播的蠕虫病毒·蠕虫病毒制作·木马蠕虫病毒危害空前严重 PC上网12分·深入了解网络蠕虫病毒·进入新年全球传播 高危蠕虫病毒威胁电

病毒名称:魔波(Worm.Mocbot.a)     魔波变种B(Worm.Mocbot.b)文件类型:PE驻留内存:文件大小:9,313 bytes MD5: 2bf2a4f0bdac42f4d6f8a062a7206797(Worm.Mocbot.a)     9,609 bytes MD5: 9928a1e6601cf00d0b7826d13fb556f0(Worm.Mocbot.b)发现日期:2006-8-14危害等级:★★★★受影响系统:Windows2000/XP

该病毒利用MS06-040漏洞进行传播。传播过程中可导致系统服务崩溃,网络连接被断开等现象。

被感染的计算机会自动连接指定的IRC服务器,被黑客远程控制,同时还会自动从互联网上下载的一个名为“等级代理木马变种AWP(Trojan.Proxy.Ranky.awp)”的木马病毒。

分析报告:一、 生成文件:“魔波(Worm.Mocbot.a)”病毒运行后,将自身改名为“wgavm.exe”并复制到%SYSTEM%中。“魔波变种B(Worm.Mocbot.b)”病毒运行后,将自身改名为“wgareg.exe”并复制到%SYSTEM%中。

二、 启动方式:病毒会创建系统服务,实现随系统启动自动运行的目的。

“魔波(Worm.Mocbot.a)”:服务名: wgavm显示名: Windows Genuine Advantage Validation Monitor描述: Ensures that your copy of Microsoft Windows is genuine. Stopping or disabling this service will result in system instability.

“魔波变种B(Worm.Mocbot.b)”服务名: wgareg显示名: Windows Genuine Advantage Registration Service描述: Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.

三、 修改注册表项目,禁用系统安全中心和防火墙等HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center AntiVirusDisableNotify = "dword:00000001" AntiVirusOverride = "dword:00000001" FirewallDisableNotify = "dword:00000001" FirewallDisableOverride = "dword:00000001"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole EnableDCOM = "N"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa restrictanonymous = "dword:00000001"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccessStart = "dword:00000004"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile EnableFirewall = "dword:00000000"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile EnableFirewall = "dword:00000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters AutoShareWks = "dword:00000000"AutoShareServer = "dword:00000000"四、 连接IRC服务器,接受黑客指令自动连接ypgw.wallloan.com、bniu.househot.com服务器,接受指令。使中毒计算机可被黑客远程控制。

五、 试图通过AIM(Aol Instant Messegger)传播会在AIM(Aol Instant Messegger)中发送消息,在消息中包含一个URL(下载地址),如果用户点击地址并下载该地址的程序,则好友列表里的人都将收到该条包含URL的消息。

六、 利用MS06-040漏洞传播该病毒会利用Microsoft Windows Server服务远程缓冲区溢出漏洞(MS06-040 Microsoft Windows的Server服务在处理RPC通讯中的恶意消息时存在溢出漏洞,远程攻击者可以通过发送恶意的RPC报文来触发这个漏洞,导致执行任意代码)

微软的补丁地址:http://www.microsoft.com/technethttp://security.chinaitlab.com/bulletin/ms06-040.mspx?pf=true

七、 自动在后台下载其它病毒会自动从互联网上下载名为“等级代理木马变种AWP(Trojan.Proxy.Ranky.awp)”,该病毒会在用户计算机TCP随机端口上开置后门。

标签: