§ 概要

病毒别名：Exploit.Win32.MS04-028.gen【AVP】

处理时间：

威胁级别：★★

中文名称：

病毒类型：未知

影响系统：未打MS04-028补丁的英文版WinXP SP1

病毒行为:

该病毒利用MS04-028的GDI+漏洞，如果用户机器没有打相应补丁，并使用资源管理器浏览了该文件，可能导致用户机器从连接木马种植者指定的FTP地址，并从该FTP下载木马文件，并运行这些木马，以达到远程监控感染机器目的

1、当用户通过资源管理器浏览该文件后，病毒会利用GDI+漏洞，尝试溢出执行下载命令。如果溢出失败，则会导致资源管理器崩溃

2、如果溢出成功，则病毒尝试从以下FTP上下载远程控制文件

ftp://2××.1××.4×.2×/www/system/

文件包括：

文件名 大小

AdmDll.dll 90112

Fport.exe 114688

ServUStartUpLog.txt 663

VNCHooks.dll 32768

WinRun.dll 1407

WinRun.exe 811008

driver.log 1268

drives.exe 24576

execute.bat 150

filter3.ocx 0

irc-u.cfg 1052

irc-u.dat 0

irc-u.debug.log 16802

irc-u.dll 102400

kill.exe 26624

nc.exe 59392

nvsvc.exe 241664

nvsvc32.dll 36864

omnithread_rt.dll 45056

peek.exe 34304

raddrv.dll 29408

radmin.reg 713

rcrypt.exe 26112

reg.exe 40960

uptime.exe 6656

vns.exe 208896

3、运行execute.bat 文件，通过Radmin远程管理工具，建立后门，端口为10002。

4、会建立一个IRC连接，连接到#FurQ频道。

§ 相关条目

计算机 木马 病毒 网络 软件 系统

• 鲁两生
• 鲁中叟
• 鲁中生烈士
• 鲁义姑
• 鲁义章烈士
• 鲁之俊
• 鲁之沫
• 鲁习灯烈士
• 鲁人
• 鲁人回日
• 鲁伊
• 鲁伊·卡洛斯·若热·帕塔卡
• 鲁伊·马奎斯
• 鲁伊斯
• 鲁伊斯，J.
• 鲁伊科斯塔
• 鲁伯斯·米歇尔
• 鲁伯特·格林特
• 鲁佩氏鹦鹉
• 鲁俊谷
• 鲁信博士庄园
• 鲁信烟草股份有限公司
• 鲁健
• 鲁儒
• 鲁先发烈士