病毒别名：

处理时间：

威胁级别：★★

中文名称：

病毒类型：蠕虫

影响系统：Win9x / WinNT

病毒行为:

这是一个利用系统LSASS缓冲区溢出漏洞（MS04-011）传播的蠕虫病毒。该病毒通过一个DLL文件传播到远程机器上，病毒运行后会利用LSASS缓冲区溢出漏洞在TCP 445端口尝试连接到随机的IP地址上，并将自己上传到成功接入的机器中运行。尝试从一个指定的远程主机上下载一个病毒到本地系统中运行，向某些域发送HTTP请求。

1)向注册表中添加新的键值：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\DataAccess

"SQL"="[12个随机的ASCII码字符]"

2)利用LSASS缓冲区溢出漏洞在TCP 445端口尝试连接到随机的IP地址上

3)将自己上传到成功接入的机器中运行

4)尝试从一个指定的远程主机上下载一个病毒到本地系统中运行

5)尝试联系下列某个域的PHP脚本来发送已控制主机的信息：

citi-bank.ru

color-bank.ru

kidos-bank.ru

parex-bank.ru

www.redline.ru

6)向下列域发送HTTP请求：

adult-empire.com

bankofny.com

citi-bank.ru

citibank.com

crutop.nu

cvv.ru

fethard.biz

filesearch.ru

kaspersky.com

konfiskat.org

master-x.com

prodexteam.net

roboxchange.com

www.kaspersky.com

www.pandasoftware.com

www.riaa.com

www.sophos.com

www.symantec.com

www.trendmicro.com

xware.cjb.net