§ 概要

病毒名：Trojan/Winser.a

病毒类型：木马、蠕虫

病毒大小：139264字节

传播方式：网络

危害程度：★★

2005年1月10日，江民反病毒中心截获利用微软WINS溢出漏洞（MS04-045）传播的木马病毒Trojan/Winser.a。被该病毒攻击的计算机会打开后门端口，下载病毒程序，还会通过IRC接收并执行多种黑客命令。

针对WINS溢出漏洞，微软已经发布了安全更新程序，下载链接：

http://www.microsoft.com/technet/security/bulletin/MS04-045.mspx

病毒具体技术特征如下：

1. 病毒运行后，将创建下列文件：

%SystemDir%\\ccEvtMngr.exe，139264字节，病毒主程序

%SystemDir%\\ccSetMngr.exe，45056字节，漏洞利用工具（Exploit.MS04045.WinsExp）

2. 添加服务“NetTcpd”，服务程序指向%SystemDir%\\ccEvtMngr.exe

3. 在注册表中添加下列启动项：

【HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run】

"nortonsantivirus" = %SystemDir%\\ccEvtMngr.exe

这样，在Windows启动时，病毒就可以自动执行。

4. 病毒主程序ccEvtMngr.exe调用释放出来的WINS漏洞利用工具ccSetMngr.exe，攻击远程计算机。被攻陷的远程计算机将反向连接攻击主机的37264/TCP端口。

5. 病毒启动一个用于接受反向连接的线程，向远程计算机发送后门命令。这些后门命令将在远程计算机上创建一个FTP脚本，用于下载病毒程序。

6. 病毒还会在感染主机的36010/TCP端口上建立一个FTP服务，提供病毒自身程序文件的下载。

7. 接受并执行来自IRC的多种后门命令，黑客通过在IRC上发送这些命令，可以完全控制被感染的计算机。命令列表如下：

!cpu

!disk

!ver

!exec 【command】

!restart

!autohack

!hack

!scan

!remove

!nick

!rshell

!bshell

!srscan

!rscan

!raw

!Massfuckingremove

!chaxport

!chaxpw

!chaxchan

!chaxsrv

!cport

!cchan

!rooted

!op

§ 相关条目

网站 网址 网络 计算机 软件 硬件

• 《我的心是冰的》
• 《我的心，是一只侯鸟》
• 《我的忧伤在远方》
• 《我的快乐观》
• 《我的恶魔王爷》
• 《我的情人潘金莲》
• 《我的戒色青春》
• 《我的房东是美女》
• 《我的执著，你的眼里》
• 《我的摄影机不撒谎--先锋电影人档案--生于是1961-1970》
• 《我的摄影机不撒谎》
• 《我的摩托车约会》
• 《我的政治生涯》
• 《我的故乡》
• 《我的故事讲给你听》
• 《我的教师生涯》
• 《我的文学梦》
• 《我的新疆情结》
• 《我的明星仔男友》
• 《我的星空》
• 《我的暑假》
• 《我的最爱》
• 《我的月儿弯了》
• 《我的朋友》
• 《我的朋友��然先生》