词条 | Worm.Plexus.d |
释义 | 定义病毒性质Worm.Plexus.d属于计算机病毒。 病毒别名:I-Worm.Plexus.b [AVP] / I-Worm.Plexus.d [KV] 处理时间: 威胁级别:★★ 中文名称:网络荆棘 病毒类型:蠕虫 影响系统:Win9x / WinNT “蠕虫”型病毒简介“蠕虫”型病毒:通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其它资源 病毒行为病毒感染特点这是一个集邮件附件传染、局域网文件共享传染以及利用LSASS和RPC DCOM存在的漏洞传染于一身的蠕虫病毒。它是用Mydoom病毒源代码改写而成,更具迷惑性、破坏性和传染性。它的图标是WINZIP图片,让用户以为是压缩包;运行它之后,首先它会弹出一个标题为“Error”,内容为可能是“CRC checksum failed.”、“Could not initialize installation. File size expected=26523, size returned=26344.”、“Pack method not implemented”、“File is corrupted.”的对话框,企图迷惑用户是压缩包无法打开,而病毒在后台悄悄运行。 1.将自己复制到局域网中所有的共享目录里以感染更多的机器。 2.利用LSASS和RPC DCOM存在的漏洞感染更多的机器。 3.它搜集用户的某些文件中的邮件地址,然后将病毒体作为邮件发送出去,邮件的主题是一些很有迷惑性的语句,企图让更多的用户感染该病毒。 4.它通过替换%System32%\\drivers\\etc\\hosts文件来阻止Kaspersky Anti- Virus反病毒软件升级。 1.它创建互斥量"expletus"防止自己的多个实例运行。 2.复制和生成文件: 将自己复制为%System32%\\upu.exe 生成文件%SystemRoot%\\svchost.exe、%System32%\\[名字可变].dll、%System32%\\[名字可变].exe、%System32%\\setpupex.exe、%System32%\\tek32.sys、%System32%\\tek32.vxd、%System32%\\tek32.dat 3.修改注册表: 添加: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run "InternetServ"="%SystemRoot%\\svchost.exe" HKEY_CLASSES_ROOT\\CLSID\\{79FB9088-19CE-715D-D85A-216290C5B738}\\InProcServer32\\ "默认"="%System32%\\[名字可变].dll" HKEY_CLASSES_ROOT\\CLSID\\{79FB9088-19CE-715D-D85A-216290C5B738}\\InProcServer32\\ "ThreadingModel"="Apartment" HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\ShellServiceObjectDelayLoad\\ "Web Event Logger"="{79FB9088-19CE-715D-D85A-216290C5B738}" HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Internet Explorer\\Main\\ "Use FormSuggest"="yes..." HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Internet Explorer\\Main\\ "FormSuggest Passwords"="yes..." HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Internet Explorer\\Main\\ "FormSuggest PW Ask"="yes..." 4.通过局域网文件共享传播。将自己复制到局域网重的共享资源里面,文件名字可能为下列名字之一: AVP5.xcrack.exe hx00def.exe ICQBomber.exe InternetOptimizer1.05b.exe Shrek_2.exe UnNukeit9xNTICQ04noimageCrk.exe YahooDBMails.exe 5.通过LSASS和RPC DCOM存在的漏洞传播。关于该漏洞请参考MS Security Bulletin MS04-011。 邮件传播内容6.通过携带附件的电子邮件传播。邮件内容可能为下列内容之一: 邮件标题:RE: order 邮件内容: Hi. Here is the archive with those information, you asked me. And don't forget, it is strongly confidencial!!! Seya, man. P.S. Don't forget my fee ;) 附件名字: SecUNCE.exe 邮件标题:For you 邮件内容: Hi, my darling :) Look at my new screensaver. I hope you will enjoy... Your Liza 附件名字: AtlantI.exe 邮件标题:Hi, Mike 邮件内容: My friend gave me this account generator for http://www.pantyola.com I wanna share it with you :) And please do not distribute it. It's private. 附件名字: Agen1.03.exe 邮件标题:Good offer 邮件内容: Greets! I offer you full base of accounts with passwords of mail server yahoo.com. Here is archive with small part of it. You can see that all information is real. If you want to buy full base, please reply me... 附件名字: demo.exe 邮件标题:RE: 邮件内容: Hi, Nick. In this archive you can find all those things, you asked me. See you. Steve 邮件内容: release.exe 7.修改%System32\\drivers\\etc\\hosts文件以阻止AVP升级,修改后的hosts文件内容为: 127.0.0.1 downloads-eu1.kaspersky-labs.com 127.0.0.1 downloads2.kaspersky-labs.com 127.0.0.1 downloads4.kaspersky-labs.com 127.0.0.1 downloads1.kaspersky-labs.com 127.0.0.1 downloads-us1.kaspersky-labs.com 8.打开TCP端口1250已经一些随机开放的端口,向外界开放后门。 9.该病毒与天网防火墙共存一段时间后,可能导致系统蓝屏。 10.该病毒下载的文件会释放驱动程序并且加载,隐藏木马进程。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。