§ 概要

病毒名：Trojan/Winser.a

病毒类型：木马、蠕虫

病毒大小：139264字节

传播方式：网络

危害程度：★★

2005年1月10日，江民反病毒中心截获利用微软WINS溢出漏洞（MS04-045）传播的木马病毒Trojan/Winser.a。被该病毒攻击的计算机会打开后门端口，下载病毒程序，还会通过IRC接收并执行多种黑客命令。

针对WINS溢出漏洞，微软已经发布了安全更新程序，下载链接：

http://www.microsoft.com/technet/security/bulletin/MS04-045.mspx

病毒具体技术特征如下：

1. 病毒运行后，将创建下列文件：

%SystemDir%\\ccEvtMngr.exe，139264字节，病毒主程序

%SystemDir%\\ccSetMngr.exe，45056字节，漏洞利用工具（Exploit.MS04045.WinsExp）

2. 添加服务“NetTcpd”，服务程序指向%SystemDir%\\ccEvtMngr.exe

3. 在注册表中添加下列启动项：

【HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run】

"nortonsantivirus" = %SystemDir%\\ccEvtMngr.exe

这样，在Windows启动时，病毒就可以自动执行。

4. 病毒主程序ccEvtMngr.exe调用释放出来的WINS漏洞利用工具ccSetMngr.exe，攻击远程计算机。被攻陷的远程计算机将反向连接攻击主机的37264/TCP端口。

5. 病毒启动一个用于接受反向连接的线程，向远程计算机发送后门命令。这些后门命令将在远程计算机上创建一个FTP脚本，用于下载病毒程序。

6. 病毒还会在感染主机的36010/TCP端口上建立一个FTP服务，提供病毒自身程序文件的下载。

7. 接受并执行来自IRC的多种后门命令，黑客通过在IRC上发送这些命令，可以完全控制被感染的计算机。命令列表如下：

!cpu

!disk

!ver

!exec 【command】

!restart

!autohack

!hack

!scan

!remove

!nick

!rshell

!bshell

!srscan

!rscan

!raw

!Massfuckingremove

!chaxport

!chaxpw

!chaxchan

!chaxsrv

!cport

!cchan

!rooted

!op

§ 相关条目

网站 网址 网络 计算机 软件 硬件

• 助耕
• 助肝排毒的食品
• 助脾散
• 助虐
• 助词
• 助赈
• 助跑
• 助道
• 助长
• 助阳和血补气汤
• 助阳药
• 助阵
• 助雄
• 助饷
• 努万库沃.卡努
• 努佩人
• 努出
• 努力的处女座
• 努力餐
• 努哈
• 努嘴胖唇
• 努埃尔·贝尔莱利
• 努埃曼，M.
• 努姆仙境
• 努尔