“Win32.Troj.Wootbot.am”的意思、由来-中文百科全书

基本介绍

病毒别名：Backdoor.Win32.Wootbot.am[AVP]

处理时间：

威胁级别：★★

中文名称：序列号大盗变种

病毒类型：木马

影响系统：Win9x / WinNT

这是一种集IRC后门、蠕虫功能于一体的，以盗取盗取序列号为主要目的的木马病毒。病毒运行后把自己复制自身到系统目录并改成系统文件的名字并将其加载为系统服务，企图迷惑用户，它同时还加载到注册表启动项，以使自己下次开机能够继续运行。它会在感染的电脑上打开后门接收攻击者发出的指令，然后连接特定的IRC服务器通知外界病毒的存在。它会扫描网段内的机器并猜测共享密码，会占用大量网络带宽资源，容易造成局域网阻塞，它同时删除本机的共享目录。它通过IRC服务器接受攻击者发出的指令，例如安装/卸载后门、下载并运行文件、结束进程、运行代理服务器、盗取众多流行游戏的序列号、对指定的IP进行Dos（拒绝服务）攻击等。

解决办法

1.将自己复制为%System%\\msconfig.exe，并将其加载为系统服务msdev.exe。

2.修改注册表：

添加主键以及表项，用来启动服务msdev.exe

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\msdev.exe

"Type"=dword:00000020

"Start"=dword:00000004

"ErrorControl"=dword:00000001

"ImagePath"="%System%\\msconfig.exe"

"DisplayName"="msdev"

"ObjectName"="LocalSystem"

"FailureActions"=hex:ff,ff,ff,ff,00,00,00,00,00,00,00,00,01,00,00,00,a8,54,0d,00,01,00,00,00,01,00,00,00

"DeleteFlag"=dword:00000001

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\msdev.exe\\Security

"Security"=<系统相关的十六进制代码>

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\msdev.exe\\Enum

"0"="Root\\\\LEGACY_MSDEV.EXE\\\\0000"

"Count"=dword:00000001

"NextInstance"=dword:00000001

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_MSDEV.EXE

"NextInstance"=dword:00000001

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_MSDEV.EXE\\0000

"Service"="msdev.exe"

"Legacy"=dword:00000001

"ConfigFlags"=dword:00000000

"Class"="LegacyDriver"

"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"

"DeviceDesc"="msdev"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_MSDEV.EXE\\0000\\Control

"*NewlyCreated*"=dword:00000000

"ActiveService"="msdev.exe"

添加主键以及表项，将病毒加载到注册表启动项：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

"msdev"="msconfig.exe"

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce

"msdev"="msconfig.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\msdev

"msdev"="msconfig.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce

"msdev"="msconfig.exe"

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices\\msdev

"msdev"="msconfig.exe"

HKEY_USERS\\.Default\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

"msdev"="msconfig.exe"

HKEY_USERS\\.Default\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce

"msdev"="msconfig.exe"

3.电脑上打开后门接收攻击者发出的指令，然后连接特定的IRC服务器通知外界病毒的存在。

4.病毒会扫描网段内的机器并猜测共享密码，会占用大量网络带宽资源，容易造成局域网阻塞。如果连接成功病毒将自己复制到该主机，并且删除中毒电脑的共享目录。

5.搜集中毒电脑的各种序列号发送给攻击者。

词条	Win32.Troj.Wootbot.am
释义	基本介绍入侵过程及危害解决办法基本介绍病毒别名：Backdoor.Win32.Wootbot.am[AVP] 处理时间：威胁级别：★★ 中文名称：序列号大盗变种病毒类型：木马影响系统：Win9x / WinNT 入侵过程及危害这是一种集IRC后门、蠕虫功能于一体的，以盗取盗取序列号为主要目的的木马病毒。病毒运行后把自己复制自身到系统目录并改成系统文件的名字并将其加载为系统服务，企图迷惑用户，它同时还加载到注册表启动项，以使自己下次开机能够继续运行。它会在感染的电脑上打开后门接收攻击者发出的指令，然后连接特定的IRC服务器通知外界病毒的存在。它会扫描网段内的机器并猜测共享密码，会占用大量网络带宽资源，容易造成局域网阻塞，它同时删除本机的共享目录。它通过IRC服务器接受攻击者发出的指令，例如安装/卸载后门、下载并运行文件、结束进程、运行代理服务器、盗取众多流行游戏的序列号、对指定的IP进行Dos（拒绝服务）攻击等。解决办法 1.将自己复制为%System%\\msconfig.exe，并将其加载为系统服务msdev.exe。 2.修改注册表：添加主键以及表项，用来启动服务msdev.exe HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\msdev.exe "Type"=dword:00000020 "Start"=dword:00000004 "ErrorControl"=dword:00000001 "ImagePath"="%System%\\msconfig.exe" "DisplayName"="msdev" "ObjectName"="LocalSystem" "FailureActions"=hex:ff,ff,ff,ff,00,00,00,00,00,00,00,00,01,00,00,00,a8,54,0d,00,01,00,00,00,01,00,00,00 "DeleteFlag"=dword:00000001 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\msdev.exe\\Security "Security"=<系统相关的十六进制代码> HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\msdev.exe\\Enum "0"="Root\\\\LEGACY_MSDEV.EXE\\\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_MSDEV.EXE "NextInstance"=dword:00000001 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_MSDEV.EXE\\0000 "Service"="msdev.exe" "Legacy"=dword:00000001 "ConfigFlags"=dword:00000000 "Class"="LegacyDriver" "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}" "DeviceDesc"="msdev" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_MSDEV.EXE\\0000\\Control "NewlyCreated"=dword:00000000 "ActiveService"="msdev.exe" 添加主键以及表项，将病毒加载到注册表启动项： HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run "msdev"="msconfig.exe" HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce "msdev"="msconfig.exe" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\msdev "msdev"="msconfig.exe" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce "msdev"="msconfig.exe" HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices\\msdev "msdev"="msconfig.exe" HKEY_USERS\\.Default\\Software\\Microsoft\\Windows\\CurrentVersion\\Run "msdev"="msconfig.exe" HKEY_USERS\\.Default\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce "msdev"="msconfig.exe" 3.电脑上打开后门接收攻击者发出的指令，然后连接特定的IRC服务器通知外界病毒的存在。 4.病毒会扫描网段内的机器并猜测共享密码，会占用大量网络带宽资源，容易造成局域网阻塞。如果连接成功病毒将自己复制到该主机，并且删除中毒电脑的共享目录。 5.搜集中毒电脑的各种序列号发送给攻击者。
随便看	一品鱼圆汤一品苑一品湛江鸡酒家一品蒸饺一品竹桶香一品竹荪汤一品芙蓉虾一品芙蓉鳜一品炖鹿筋一品鲥鱼一平浪盐政管理处一平浪运动一平浪组一平三下一平苏一瓶安定片一瓶二静三鳎目一瓶神奇饮料的非凡故事一瓶四和院一坡三档一扑一扑纳心一铺一铺滩一谱乾坤

基本介绍

入侵过程及危害

解决办法