病毒别名： 处理时间：2007-04-19 威胁级别：★★

中文名称： 病毒类型：蠕虫 影响系统：Win 2000/NT,Win XP,Win 2003

病毒行为:

这是一个后门病毒,它利用了Windows DNS服务器的RPC漏洞进行传播,

并开放一个后门端口,接受黑客的控制指令.

1:拷贝病毒体

病毒运行后,会把自己拷贝到系统目录下

%system%\\\\mdnex.exe

之后病毒体会自删除

2:添加自启动项

病毒会添加自启动项

HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run

Microsoft DNSx = "%system%\\\\mdnex.exe"

使自己能随Windows启动.

3:连接IRC接受命令

病毒会打开一个随机端口,并连接以下3个IRC

is.wayne.brady.gonna.have.to.choke******.us

symantec.has.sand.in.its.******.xxx

x.*****ewaffles.us

接受并响应黑客发出的指令,使计算机成为僵尸网络的一部分.

4:病毒传播

病毒会会随机生成一个IP,并向该IP地址发送数据包,利用DNS服务远程溢出漏洞(1025端口)和

远程服务溢出漏洞(139端口)进行传播,该数据包是经过特殊设计的,使该IP的计算机的栈溢出,

并运行数据包中的ShellCode,而ShellCode正是下载和运行病毒体的代码,使远程计算机下载

http://www.******.com/radi.exe到C:\\\\radi.exe上,并运行此文件.

但病毒体不会向此IP段发送数据包:

192.168.*.*

10.*.*.*

111.*.*.*

15.*.*.*

16.*.*.*

101.*.*.*

110.*.*.*

112.*.*.*

170.65.*.*

172.*.*.*

该漏洞存在于以下打开了DNS服务(Domain Name System)的服务器系统:

Windows 2000 Server Service Pack 4

Windows Server 2003 Service Pack 1

Windows Server 2003 Service Pack 2

建议用户及时打补丁,对于DNS服务的漏洞,微软暂无相应的补丁,但可以通过修改注册表禁止DNS服务的RPC功能,

在HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\DNS\\Parameters下创建一个名为"RpcProtocol"的

DWORD值,并设定数值为4,然后重启DNS服务.若非必要时建议关闭DNS服务,并禁止445端口的TCP与UDP连接,

1024,1025端口未明的访问.