词条 | Worm.VanBot.bx |
释义 | 病毒别名: 处理时间:2007-04-19 威胁级别:★★ 中文名称: 病毒类型:蠕虫 影响系统:Win 2000/NT,Win XP,Win 2003 病毒行为: 这是一个后门病毒,它利用了Windows DNS服务器的RPC漏洞进行传播, 并开放一个后门端口,接受黑客的控制指令. 1:拷贝病毒体 病毒运行后,会把自己拷贝到系统目录下 %system%\\\\mdnex.exe 之后病毒体会自删除 2:添加自启动项 病毒会添加自启动项 HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run Microsoft DNSx = "%system%\\\\mdnex.exe" 使自己能随Windows启动. 3:连接IRC接受命令 病毒会打开一个随机端口,并连接以下3个IRC is.wayne.brady.gonna.have.to.choke******.us symantec.has.sand.in.its.******.xxx x.*****ewaffles.us 接受并响应黑客发出的指令,使计算机成为僵尸网络的一部分. 4:病毒传播 病毒会会随机生成一个IP,并向该IP地址发送数据包,利用DNS服务远程溢出漏洞(1025端口)和 远程服务溢出漏洞(139端口)进行传播,该数据包是经过特殊设计的,使该IP的计算机的栈溢出, 并运行数据包中的ShellCode,而ShellCode正是下载和运行病毒体的代码,使远程计算机下载 http://www.******.com/radi.exe到C:\\\\radi.exe上,并运行此文件. 但病毒体不会向此IP段发送数据包: 192.168.*.* 10.*.*.* 111.*.*.* 15.*.*.* 16.*.*.* 101.*.*.* 110.*.*.* 112.*.*.* 170.65.*.* 172.*.*.* 该漏洞存在于以下打开了DNS服务(Domain Name System)的服务器系统: Windows 2000 Server Service Pack 4 Windows Server 2003 Service Pack 1 Windows Server 2003 Service Pack 2 建议用户及时打补丁,对于DNS服务的漏洞,微软暂无相应的补丁,但可以通过修改注册表禁止DNS服务的RPC功能, 在HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\DNS\\Parameters下创建一个名为"RpcProtocol"的 DWORD值,并设定数值为4,然后重启DNS服务.若非必要时建议关闭DNS服务,并禁止445端口的TCP与UDP连接, 1024,1025端口未明的访问. |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。