“Worm.DipNet.f”的意思、由来-中文百科全书

基本信息

病毒别名：

处理时间：

威胁级别：★★

中文名称：臭虫变种F

病毒类型：蠕虫

影响系统：Win2000 / WinNT

病毒行为

这是一个通过系统漏洞传播的蠕虫病毒。该病毒会将自己拷贝到系统目录下，病毒的文件名是随机生成的，并将其注册为系统服务IPSPEC，以便在任务管理器中隐藏自己。病毒通过对某些站点服务器的DNS查询来判断网络是否连通，再通过TCP 445端口连接到随机生成的IP地址，如果连接成功就向目标机器上传并执行远程shell。该病毒还会从网络上下载文件到本地机器。

对外操作

1)将病毒拷贝到%System%\\[随机文件名].exe

2)在注册表中为病毒添加启动项：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

"WinNetDDE"="%System%\\[随机文件名].exe"

3)建立互斥体_XXX_11111asdasd_XXX_123_012，防止病毒的多个实例同时运行。

4)通过一个临时的批处理来实现病毒的自我删除

5)通过对以下站点服务器的DNS查询来判断网络是否连通：

www.google.com

www.ebay.com

www.yahoo.com

6)通过TCP 445端口连接到随机生成的IP地址，如果连接成功就向目标机器上传并执行远程shell。

7)从sc.virtualgamez-zone.com下载文件

8)将病毒进程注册为系统服务IPSPEC：

HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\IPSPEC

"Type"=0x10

"Start"=0x2

"ErrorControl"=0x0

"DisplayName"="IPSPEC"

"ObjectName"="LocalSystem"

"ImagePath"="%System%\\[随机文件名].exe"

HKEY_LOCAL_MACHINE\\SYSTEM\\CURRENTCONTROLSET\\ENUM\\ROOT\\LEGACY_IPSPEC

"NextInstance"=0x1

HKEY_LOCAL_MACHINE\\SYSTEM\\CURRENTCONTROLSET\\ENUM\\ROOT\\LEGACY_IPSPEC\\0000\\Control

"*NewlyCreated*"=0x0

HKEY_LOCAL_MACHINE\\SYSTEM\\CURRENTCONTROLSET\\ENUM\\ROOT\\LEGACY_IPSPEC\\0000

"Service"="IPSPEC"

"Legacy"=0x1

"ConfigFlags"=0x0

"Class"="LegacyDriver"

"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"

"DeviceDesc"="IPSPEC"

HKEY_LOCAL_MACHINE\\SYSTEM\\CURRENTCONTROLSET\\SERVICES\\IPSPEC\\Enum

"0"="Root\\LEGACY_IPSPEC\\0000"

"Count"=0x1

"NextInstance"=0x1

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\ServiceCurrent

(Default)=0x8

HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Enum\\Root\\LEGACY_IPSPEC\\0000\\Control

"ActiveService"="IPSPEC" eService="IPSPEC"

注册表

9)删除如下注册表键值以便移除可能存在的该病毒的老版本：

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet002\\Services\\WebPoster

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet002\\Services\\WebPoster\\Security

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\WebPoster

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\WebPoster\\Security

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\WebPoster\\Enum

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\WebPoster

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\WebPoster\\Security

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\WebPoster\\Enum

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet002\\Services\etDDEfipx

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet002\\Services\etDDEfipx\\Security

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\etDDEfipx

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\etDDEfipx\\Security

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\etDDEfipx\\Enum

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\etDDEfipx

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\etDDEfipx\\Security

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\etDDEfipx\\Enum

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet002\\Services\etDDEipx

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet002\\Services\etDDEipx\\Security

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\etDDEipx

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\etDDEipx\\Security

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\etDDEipx\\Enum

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\etDDEipx

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\etDDEipx\\Security

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\etDDEipx\\Enum

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet002\\Services\etDDEeipxs

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet002\\Services\etDDEeipxs\\Security

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\etDDEeipxs

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\etDDEeipxs\\Security

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\etDDEeipxs\\Enum

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\etDDEeipxs

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\etDDEeipxs\\Security

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\etDDEeipxs\\Enum

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet002\\Services\etDDEeipx

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet002\\Services\etDDEeipx\\Security

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\etDDEeipx

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\etDDEeipx\\Security

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\etDDEeipx\\Enum

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\etDDEeipx

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\etDDEeipx\\Security

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\etDDEeipx\\Enum

词条	Worm.DipNet.f
释义	基本信息病毒行为(对外操作注册表) 基本信息病毒别名：处理时间：威胁级别：★★ 中文名称：臭虫变种F 病毒类型：蠕虫影响系统：Win2000 / WinNT 病毒行为 : 这是一个通过系统漏洞传播的蠕虫病毒。该病毒会将自己拷贝到系统目录下，病毒的文件名是随机生成的，并将其注册为系统服务IPSPEC，以便在任务管理器中隐藏自己。病毒通过对某些站点服务器的DNS查询来判断网络是否连通，再通过TCP 445端口连接到随机生成的IP地址，如果连接成功就向目标机器上传并执行远程shell。该病毒还会从网络上下载文件到本地机器。对外操作 1)将病毒拷贝到%System%\\[随机文件名].exe 2)在注册表中为病毒添加启动项： HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run "WinNetDDE"="%System%\\[随机文件名].exe" 3)建立互斥体_XXX_11111asdasd_XXX_123_012，防止病毒的多个实例同时运行。 4)通过一个临时的批处理来实现病毒的自我删除 5)通过对以下站点服务器的DNS查询来判断网络是否连通： www.google.com www.ebay.com www.yahoo.com 6)通过TCP 445端口连接到随机生成的IP地址，如果连接成功就向目标机器上传并执行远程shell。 7)从sc.virtualgamez-zone.com下载文件 8)将病毒进程注册为系统服务IPSPEC： HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\IPSPEC "Type"=0x10 "Start"=0x2 "ErrorControl"=0x0 "DisplayName"="IPSPEC" "ObjectName"="LocalSystem" "ImagePath"="%System%\\[随机文件名].exe" HKEY_LOCAL_MACHINE\\SYSTEM\\CURRENTCONTROLSET\\ENUM\\ROOT\\LEGACY_IPSPEC "NextInstance"=0x1 HKEY_LOCAL_MACHINE\\SYSTEM\\CURRENTCONTROLSET\\ENUM\\ROOT\\LEGACY_IPSPEC\\0000\\Control "NewlyCreated"=0x0 HKEY_LOCAL_MACHINE\\SYSTEM\\CURRENTCONTROLSET\\ENUM\\ROOT\\LEGACY_IPSPEC\\0000 "Service"="IPSPEC" "Legacy"=0x1 "ConfigFlags"=0x0 "Class"="LegacyDriver" "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}" "DeviceDesc"="IPSPEC" HKEY_LOCAL_MACHINE\\SYSTEM\\CURRENTCONTROLSET\\SERVICES\\IPSPEC\\Enum "0"="Root\\LEGACY_IPSPEC\\0000" "Count"=0x1 "NextInstance"=0x1 HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\ServiceCurrent (Default)=0x8 HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Enum\\Root\\LEGACY_IPSPEC\\0000\\Control "ActiveService"="IPSPEC" eService="IPSPEC" 注册表 9)删除如下注册表键值以便移除可能存在的该病毒的老版本： HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet002\\Services\\WebPoster HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet002\\Services\\WebPoster\\Security HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\WebPoster HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\WebPoster\\Security HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\WebPoster\\Enum HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\WebPoster HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\WebPoster\\Security HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\WebPoster\\Enum HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet002\\Services\etDDEfipx HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet002\\Services\etDDEfipx\\Security HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\etDDEfipx HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\etDDEfipx\\Security HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\etDDEfipx\\Enum HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\etDDEfipx HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\etDDEfipx\\Security HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\etDDEfipx\\Enum HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet002\\Services\etDDEipx HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet002\\Services\etDDEipx\\Security HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\etDDEipx HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\etDDEipx\\Security HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\etDDEipx\\Enum HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\etDDEipx HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\etDDEipx\\Security HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\etDDEipx\\Enum HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet002\\Services\etDDEeipxs HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet002\\Services\etDDEeipxs\\Security HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\etDDEeipxs HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\etDDEeipxs\\Security HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\etDDEeipxs\\Enum HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\etDDEeipxs HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\etDDEeipxs\\Security HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\etDDEeipxs\\Enum HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet002\\Services\etDDEeipx HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet002\\Services\etDDEeipx\\Security HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\etDDEeipx HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\etDDEeipx\\Security HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\etDDEeipx\\Enum HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\etDDEeipx HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\etDDEeipx\\Security HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\etDDEeipx\\Enum
随便看	中国天马集团有限公司中国天平调查员管理局中国天气论坛中国天气网中国天然碱之都中国天然气工业发展研究中国天然香交易中心中国天然橡胶协会中国天然药物中国天然药物资源区划中国天荣F1摩托艇招商银行队中国天狮集团中国天使网中国天腾雾森国际有限公司中国天天中国天网中国天文博物院中国天文史中国天文学会中国天文学会2009年学术年会中国天文学史中国天元战中国天主教中国天主教爱国会中国天主教电子书(CD)