§ 病毒别名

： 处理时间：2006-08-21 威胁级别：★

中文名称： 病毒类型：蠕虫 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

§ 病毒行为

:

这是一个利用MS05-039漏洞进行传播的蠕虫病毒。该病毒的主要危害是通过IRC聊天系统使用户系统接受黑客的远程控制，成为肉鸡；该病毒还会攻击SQL服务器，以及进行Ddos攻击。建议用户除了安装杀毒软件并及时更新病毒库之外，还要打上MS05-039的漏洞补丁来防御该病毒。

1，生成文件

%system%\\javanet.exe

2，添加启动项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices

"MS Java for Windows XP & NT" = "javanet.exe"

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices

"MS Java for Windows XP & NT" = "javanet.exe"

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon

"Shell" = "Explorer.exe javanet.exe"

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon

"Userinit" = "%System%\\userinit.exe,javanet.exe"

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows

"JavaNet" = "rBot v2 a.k.a. the next generation (working on winXP SP2)"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess

"start" = 0x4

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\OLE

"EnableDCOM" = "N"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa

"restrictanonymous" = 0x1

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa

"lmcompatibilitylevel" = 0x1

3，传播方式

攻击含有MS05-039的机器，成功入侵后拷贝病毒文件到该机器，完成传播。

4，黑客远程控制命令

NOTICE

PRIVMSG

PASS

NICK

USER %s "hotmail.com" "%s"

PING

PONG

JOIN

001

005

302

433

432

KICK

PART

QUIT

353

332

• 茉莉芬事件
• 茉莉花
• 茉莉花佛手粥
• 茉莉花氽鸡片清汤
• 茉莉花汆鸡片清汤
• 茉莉花的盆栽和管理
• 茉莉花花
• 茉莉花茶
• 茉莉花茶偏方
• 茉莉花露
• 茉莉蓖形褐层孔菌
• 茉莉豆腐
• 茉莉酯
• 茉莉银耳羹
• 茉莉香草茶
• 茌
• 茌平信息港
• 茌平县人民医院杜郎口分院
• 茌平县人民医院杨屯分院
• 茌平县妇幼保健所
• 茎
• 茎卷须
• 茎叶葶花
• 茎枯病
• 茎根比