请输入您要查询的百科知识:

 

词条 Worm.Welchia.e
释义

Worm.Welchia.e,中文名称,冲击波克星变种E,该病毒只会对具有RPC漏洞、WebDAV 漏洞、IIS5/WEBDAV漏洞和Locator service 漏洞的WINDOWS系统进行传播。

简介

病毒别名:Worm.win32.Welchia.e[avp]

处理时间:2004-03-10

威胁级别:★★★

中文名称:冲击波克星变种E

病毒类型:蠕虫

影响系统:Windows 2000, Windows XP

病毒行为:

“冲击波克星”系例

编写工具:

vc, upx压缩

传染条件:

该病毒只会对具有RPC漏洞、WebDAV 漏洞、IIS5/WEBDAV漏洞和Locator service 漏洞的WINDOWS系统进行传播。

发作条件:

系统修改

A、检查互斥体"WksPatch_Mutex.", 只允许一个实例运行.

B、自我复制到 %System%DriversSvchost.exe.

C、创建以下服务

服务名: WksPatch

服务程序: %System%DriversSvchost.exe

服务描述: 从以下三种字符串中组合:

1> System

Security

Remote

Routing

Performance

Network

License

Internet

2> Logging

Manager

Procedure

Accounts

Event

3> Provider

Sharing

Messaging

Client

D、删除名为"RpcPatch"的服务(这个服务是由冲击波克星系列创建的)

E、检测以下病毒是否存在:

Worm.Mydoom.A, Worm.Mydoom.B, Worm.Doomjuice, and Worm.Doomjuice.B

感染迹象

F、如果存在以上病毒则有以下现象:

1>结束下列进程:

%System%intrenat.exe (Worm.Doomjuice)

%System%Regedit.exe (Worm.Doomjuice.B)

%System%Taskmon.exe (Worm.Mydoom.A)

%System%Explorer.exe (Worm.Mydoom.B)

2>删除和以上病毒有关的文件,如:

%System%shimgapi.dll (The .dll associated with Worm.Mydoom.A)

%System%ctfmon.dll (The .dll associated with Worm.Mydoom.B)

值得注意的是删除时上述病毒可能正在运行,所以这一步有时会失败.

3>删除以下注册表键值:

HKLM/Software/Microsoft/Windows/CurrentVersion/Run/Gremlin (Worm.Doomjuice)

HKLM/Software/Microsoft/Windows/CurrentVersion/Run/NeroCheck (Worm.Doomjuice.B)

HKLM/Software/Microsoft/Windows/CurrentVersion/Run/Taskmon (Worm.Mydoom.A)

HKCU/Software/Microsoft/Windows/CurrentVersion/Run/Taskmon (Worm.Mydoom.A)

HKLM/Software/Microsoft/Windows/CurrentVersion/Run/Explorer (Worm.Mydoom.B)

HKCU/Software/Microsoft/Windows/CurrentVersion/Run/Explorer (Worm.Mydoom.B)

4>恢复以下注册表键值: (这些键值被 Worm.Mydoom.a and Worm.Mydoom.B 病毒修改指向自己的dll):

HKCR/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/InProcServer32 = %Systemwebcheck.dll

5>恢复hosts文件(被Mydoom.A and .B修改)

#

#

127.0.0.1 localhost

G、产生随机ip地址并向这些地址发送溢出和漏洞攻击, 其中包括:

DCOM RPC

WebDav

Workstation Service

Locator service

DCOM RPC

H、在随机端口开启一个http服务,可以使别的机器容易受到感染。

I、如果被感染操作系统为日文,则在IIS的虚拟目录搜索扩展名为

shtml

shtm

stm

cgi

php

html

htm

asp

并以box.jpg.html覆盖搜索到的文件内容。浏览效果如box.jpg所示。

J、如果受感染系统为中文,英文或者韩文则在微软的windows升级主页下载漏洞补丁,

安装补丁完毕后会重新启动计算机。

K、这个蠕虫会自我删除,在运行120天后或者2004年6月1日以前。

发作现象:

特别说明:

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/11/15 11:41:48