“Worm.WelChia.b”的意思、由来-中文百科全书

病毒别名：Worm.Win32.WelChia.b[AVP]

处理时间：2004-02-12

威胁级别：★★★

中文名称：“冲击波克星”变种

病毒类型：蠕虫

影响系统：WinNT4.0/Win2000/WinXp/Win2003

病毒行为:

“冲击波克星”蠕虫

编写工具:VC6.0, UPX压缩

传染条件:通过以下系统漏洞传播：

Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) vulnerability (使用TCP端口135) MS03-026

WebDAV vulnerability (使用TCP端口80) MS03-007

IIS5/WEBDAV Buffer Overrun vulnerability MS03-049

Locator service vulnerability MS03-001

发作条件:攻击日文的操作系统

系统修改:

A、在注册表中添加以下键值：

1)HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWksPatch------添加了该键后，每当系统启动时，该病毒就能以服务的形式运行

Type = dword:00000010

Start = dword:00000002

ErrorControl = dword:00000000

ImagePath

DisplayName = "随机生成的值"

ObjectName = "LocalSystem"

Description = "Maintains an up-to-date list of computers on your network and supplies the list to programs that request it."

DisplayName由三组字符串组成：

%字符串1% %字符串2% %字符串3%

每次会分别从每组字符串中随机取出一个字符串来组成一个完整的名字

字符串1：

Security

Remote

Routing

Performance

Network

License

Internet

System

Browser

字符串2：

Manager

Procedure

Accounts

Event

Logging

字符串3:

Sharing

Messaging

Client

Provider

2)HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWksPatchSecurity Security

B、如果以下注册表键值存在，该病毒会将其删除：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

C、如果以下键值被MYDOOM病毒修改了，该病毒也会将它用WEBCHECK.DLL覆盖

D、该病毒会将其自身拷贝在%System32%drivers目录下，文件名为：SVCHOST.EXE

发作现象:

A、如果系统不是日文，那么该病毒不会对系统造成什么危害，反而会为系统打上相关的补丁：http://download.microsoft.com/download/4/d/3/4d375d48-04c7-411f-959b-3467c5ef1e9a/WindowsXP-KB828035-x86-CHS.exe

http://download.microsoft.com/download/a/4/3/a43ea017-9abd-4d28-a736-2c17dd4d7e59/WindowsXP-KB828035-x86-KOR.exe

http://download.microsoft.com/download/e/a/e/eaea4109-0870-4dd3-88e0-a34035dc181a/WindowsXP-KB828035-x86-ENU.exe

http://download.microsoft.com/download/9/c/5/9c579720-63e9-478a-bdcb-70087ccad56c/Windows2000-KB828749-x86-CHS.exe

http://download.microsoft.com/download/0/8/4/084be8b7-e000-4847-979c-c26de0929513/Windows2000-KB828749-x86-KOR.exe

http://download.microsoft.com/download/3/c/6/3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9/Windows2000-KB828749-x86-ENU.exe

B、如果为日文系统，那么该病毒会从注册表Virtual Roots及IIS Help folders中读取路径，并尝试用病毒体内带的一个网页文件替换此路径下的文件。该网页的截图见图

特别说明:

词条	Worm.WelChia.b
释义	病毒别名：Worm.Win32.WelChia.b[AVP] 处理时间：2004-02-12 威胁级别：★★★ 中文名称：“冲击波克星”变种病毒类型：蠕虫影响系统：WinNT4.0/Win2000/WinXp/Win2003 病毒行为: “冲击波克星”蠕虫编写工具:VC6.0, UPX压缩传染条件:通过以下系统漏洞传播： Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) vulnerability (使用TCP端口135) MS03-026 WebDAV vulnerability (使用TCP端口80) MS03-007 IIS5/WEBDAV Buffer Overrun vulnerability MS03-049 Locator service vulnerability MS03-001 发作条件:攻击日文的操作系统系统修改: A、在注册表中添加以下键值： 1)HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWksPatch------添加了该键后，每当系统启动时，该病毒就能以服务的形式运行 Type = dword:00000010 Start = dword:00000002 ErrorControl = dword:00000000 ImagePath DisplayName = "随机生成的值" ObjectName = "LocalSystem" Description = "Maintains an up-to-date list of computers on your network and supplies the list to programs that request it." DisplayName由三组字符串组成： %字符串1% %字符串2% %字符串3% 每次会分别从每组字符串中随机取出一个字符串来组成一个完整的名字字符串1： Security Remote Routing Performance Network License Internet System Browser 字符串2： Manager Procedure Accounts Event Logging 字符串3: Sharing Messaging Client Provider 2)HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWksPatchSecurity Security B、如果以下注册表键值存在，该病毒会将其删除： HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun C、如果以下键值被MYDOOM病毒修改了，该病毒也会将它用WEBCHECK.DLL覆盖 D、该病毒会将其自身拷贝在%System32%drivers目录下，文件名为：SVCHOST.EXE 发作现象: A、如果系统不是日文，那么该病毒不会对系统造成什么危害，反而会为系统打上相关的补丁：http://download.microsoft.com/download/4/d/3/4d375d48-04c7-411f-959b-3467c5ef1e9a/WindowsXP-KB828035-x86-CHS.exe http://download.microsoft.com/download/a/4/3/a43ea017-9abd-4d28-a736-2c17dd4d7e59/WindowsXP-KB828035-x86-KOR.exe http://download.microsoft.com/download/e/a/e/eaea4109-0870-4dd3-88e0-a34035dc181a/WindowsXP-KB828035-x86-ENU.exe http://download.microsoft.com/download/9/c/5/9c579720-63e9-478a-bdcb-70087ccad56c/Windows2000-KB828749-x86-CHS.exe http://download.microsoft.com/download/0/8/4/084be8b7-e000-4847-979c-c26de0929513/Windows2000-KB828749-x86-KOR.exe http://download.microsoft.com/download/3/c/6/3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9/Windows2000-KB828749-x86-ENU.exe B、如果为日文系统，那么该病毒会从注册表Virtual Roots及IIS Help folders中读取路径，并尝试用病毒体内带的一个网页文件替换此路径下的文件。该网页的截图见图特别说明:
随便看	回力比回力车回力卡环回力球场回联村回连涛回梁回良村回良老缅自然村回料控制阀回岭村回溜回流比调节器回流焊回流炉高温油回流焊专用高温链条油回流沥青萃取仪回流量回流炉保养和波峰焊棘爪清洗剂回流区回流燃烧室回流渗透白云石化回流提取回流头回龙垱村回龙茶