§ 概要

病毒别名：W32/Dabber-A 【Sophos】, W32/Dabber.worm.a 【McAfee】, WORM_DABBER.A 【Trend】

处理时间：2004-06-08

威胁级别：★

中文名称：

病毒类型：蠕虫

影响系统：Windows 2000, Windows XP

病毒行为:

编写工具:

vc编写，upx压缩

传染条件:

发作条件:

系统修改:

1，通过打开sas4dab互斥体来防止重复运行

2，拷贝自身到

%System%package.exe

C:Documents and SettingsAll UsersStart MenuProgramsStartuppackage.exe

%Windir%All UsersMain menuProgramsStartUppackage.exe

使得开机自动运行。

3，向注册表添加

"sassfix"="%System%package.exe"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

删除下列键值：

Video

Microsoft Update

from the registry key:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

Drvddll.exe

Drvddll_exe

drvsys

drvsys.exe

ssgrate

ssgrate.exe

lsasss

lsasss.exe

avserve2.exe

avvserrve32

avserve

Taskmon

Gremlin

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

Window

Video Process

TempCom

SkynetRevenge

MapiDrv

BagleAV

System Updater Service

soundcontrl

WinMsrv32

drvddll.exe

navapsrc.exe

skynetave.exe

Generic Host Service

Windows Drive Compatibility

windows

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion

RunServices

HKEY_CURRENT_USER.DEFAULTSOFTWAREMicrosoftWindows

CurrentVersionRun

同时删除

HKEY_CLASSES_ROOTCLSID

InProcServer32

4，蠕虫在被感染的机器上开设后门，端口为：9898，可使攻击者操作被感染机器。

§ 相关条目

计算机 木马 病毒 网络 软件 系统

• 侯宜禄烈士
• 侯宝宾
• 侯宝政(1895～ )
• 侯宝林
• 侯宝璋
• 侯家凤
• 侯家声
• 侯家巷
• 侯家庄站
• 侯家站
• 侯家良烈士
• 侯家镇
• 侯寘
• 侯封
• 侯小佩
• 侯少奎
• 侯峻山
• 侯崇
• 侯崤曾
• 侯巧文
• 侯希贵
• 侯希逸
• 侯幼临
• 侯幼珍
• 侯应宾