极速波病毒技术分析报告

⊕ 网站首页 ⊕注册会员 ⊕ 本站免费电影 ⊕ 留言板 ⊕ 繁體中文

您现在的位置：陈鹏个人网站 >> 电脑应用 >> 网络应用 >> 网络安全 >> 正文

专题栏目

最新热门

最新推荐

相关文章

全球大提速快车3.0正式
 QQ邮箱文件中转站悄然推
 快车联手Opera 打造极速
 赶走流氓软件对极速隐藏
 手工、自动清除“极速波
 极速波攻破XP密码防线危
 自定义FTP客户端享受极
 发挥Vista的网络潜能实现
 极速安全深度优化Vista
XP系统极速狂飙屏蔽五项

极速波病毒技术分析报告

极速波病毒技术分析报告

作者：陈鹏文章来源：eNet 点击数：更新时间：2009-9-11 19:27:58

病毒名称：极速波（I-Worm/Zobot）

病毒类型：蠕虫、后门

病毒大小：22528字节

传播方式：网络

危害程度：★★★

　　2005年8月15日，江民反病毒中心截获一个利用微软“即插即用服务代码执行漏洞”(MS05-039)的蠕虫病毒I-Worm/Zotob。该病毒利用最新漏洞传播，并且可以通过IRC接受黑客命令，使被感染计算机被黑客完全控制。

　　病毒具体技术特征如下：

　　1. 病毒运行后，将创建下列文件：

　　%SystemDir%\botzor.exe, 22528字节

　　图1

　　2. 在注册表中添加下列启动项：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　"WINDOWS SYSTEM" = botzor.exe

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

　　"WINDOWS SYSTEM" = botzor.exe

　　这样，在Windows启动时，病毒就可以自动执行。

极速波

　　图2

　　3. 通过TCP端口8080连接IRC服务器，接受并执行黑客命令。可导致被感染计算机被黑客完全控制。

　　4. 在TCP端口33333开启FTP服务，提供病毒文件下载功能。利用微软即插即用服务远程代码执行漏洞(MS05-039)进行传播。如果漏洞利用代码成功运行，将导致远程目标计算机从当前被感染计算机的FTP服务上下载病毒程序。如果漏洞代码没有成功运行，未打补丁的远程计算机可能会出现services.exe进程崩溃的现象。

极速波

　　图3

　　5. 修改%SystemDir%\drivers\etc\hosts文件，屏蔽大量国外反病毒和安全厂商的网址。并有下列文本：

　　MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!

　　针对该病毒，KV杀毒软件在8月15日升级病毒库后可以查杀。江民公司提醒广大用户，请注意及时升级病毒库，开启实时监控，立刻安装微软的安全补丁。保护您的系统不受此病毒的威胁。

文章录入：陈鹏责任编辑：陈鹏

上一篇文章：黑客入门：选择漏洞扫描工具

下一篇文章：蠕虫作怪黑客疯狂攻击微软漏洞

【字体：小大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】