| 病毒资料:W32/Padobot.M-net | |||||||||
| 基本信息 | |||||||||
| 病毒名称: | W32/Padobot.M-net | 类型: | 蠕虫 | 长度: | 9728 | 威胁级别: | 2 | 捕获日期: | 2006-03-08 |
| 其它别名: | Net-Worm.Win32.Padobot.m,W32/Korgo.worm.v virus,WORM_KORGO.V | 影响系统: | MS-Windows | ||||||
| 表现特征 | |||||||||
| 1. %SYSTEM% 目录下存在类似 srfbryrg.exe 的名字为随机字母的文件; 2. Windows Security Manager 和 WinUpdate 被关闭。 | |||||||||
| 行为分析 | |||||||||
| 1. 这是一个 PE 文件,使用一种不常见的壳和 UPX 双重加密,加密后长度为 9,728 字节,无附加数据; 2. 试图删除 ftpupd.exe 文件; 3. 创建有名互斥量 uterm19 ; 4. 试图终止下列进程: Windows Update MS Config v13 avserve2.exeUpdate Service avserve.exe Windows Update Service WinUpdate SysTray Bot Loader System Restore Service Disk Defragmenter Windows Security Manager 并删除上述进程在注册表项 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下的自启动项; 5. 拷贝自身到 %SYSTEM%\{RANDOM}.exe,可能在注册表项 HKLM\Software\Microsoft\Wireless 下面创建子键 " ID " = " fgnsdrjyrsert " 在注册表项 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面创建子键 " Client " = " 1 "(UNICODE) " Cryptographic Service " = " %SYSTEM%\{RANDOM}.exe " 6. 随即选择用户正在使用的进程,并注入一段恶意代码,其行为如下: a) 可能创建有名互斥量 u8 和 uterm19; b) 开启一个 TCP 后门,端口随机,允许远程的恶意操作; c) 连接下列地址: www.redline.ru filesearch.ru roboxchange.com fethard.biz asechka.ru master-x.com color-bank.ru kavkaz.tv crutop.nu kidos-bank.ru parex-bank.ru adult-empire.com konfiskat.org citi-bank.ru xware.cjb.net mazafaka.ru ... 试图下载文件并执行; d) 试图通过建立 IPC 连接和 漏洞(Microsoft Security Bulletin MS04-011)来传播自身。 | |||||||||
| 清除方法 | |||||||||
| 1. 打开任务管理器,结束病毒注入的进程; 2. 删除相关的病毒文件; 3. 打开注册表编辑器,删除病毒的注册表相关项; 4. 建议更新防毒软件病毒库至最新,全盘扫描系统; 5. 打好相应的漏洞补丁。 | |||||||||
正文
[病毒资料之五]srfbryrg.exe进程病毒2006-08-15 00:11:00
【评论】 【打印】 【字体:大 中 小】 本文链接:http://blog.pfan.cn/fengfei/17581.html
阅读(3200) | 评论(0)
版权声明:编程爱好者网站为此博客服务提供商,如本文牵涉到版权问题,编程爱好者网站不承担相关责任,如有版权问题请直接与本文作者联系解决。谢谢!
评论