病毒资料：W32/Padobot.M-net 基本信息 病毒名称: W32/Padobot.M-net 类型: 蠕虫 长度: 9728 威胁级别: 2 捕获日期: 2006-03-08 其它别名: Net-Worm.Win32.Padobot.m，W32/Korgo.worm.v virus，WORM_KORGO.V 影响系统: MS－Windows 表现特征 1. %SYSTEM% 目录下存在类似 srfbryrg.exe 的名字为随机字母的文件；2. Windows Security Manager 和 WinUpdate 被关闭。 行为分析 1. 这是一个 PE 文件，使用一种不常见的壳和 UPX 双重加密，加密后长度为 9,728 字节，无附加数据；2. 试图删除 ftpupd.exe 文件；3. 创建有名互斥量 uterm19 ；4. 试图终止下列进程：            Windows Update      MS Config v13      avserve2.exeUpdate Service      avserve.exe      Windows Update Service      WinUpdate      SysTray      Bot Loader      System Restore Service      Disk Defragmenter      Windows Security Manager   并删除上述进程在注册表项      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run   下的自启动项；5. 拷贝自身到 %SYSTEM%\{RANDOM}.exe，可能在注册表项             HKLM\Software\Microsoft\Wireless       下面创建子键       " ID " = " fgnsdrjyrsert "      在注册表项       HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run   下面创建子键         " Client " = " 1 "（UNICODE）       " Cryptographic Service " = " %SYSTEM%\{RANDOM}.exe "6. 随即选择用户正在使用的进程，并注入一段恶意代码，其行为如下：      a) 可能创建有名互斥量 u8 和 uterm19；      b) 开启一个 TCP 后门，端口随机，允许远程的恶意操作；      c) 连接下列地址：              www.redline.ru              filesearch.ru              roboxchange.com              fethard.biz              asechka.ru              master-x.com              color-bank.ru              kavkaz.tv              crutop.nu              kidos-bank.ru              parex-bank.ru              adult-empire.com              konfiskat.org              citi-bank.ru              xware.cjb.net              mazafaka.ru              ...                   试图下载文件并执行；      d) 试图通过建立 IPC 连接和 漏洞（Microsoft Security Bulletin MS04-011）来传播自身。 清除方法 1. 打开任务管理器，结束病毒注入的进程；2. 删除相关的病毒文件；3. 打开注册表编辑器，删除病毒的注册表相关项；4. 建议更新防毒软件病毒库至最新，全盘扫描系统；5. 打好相应的漏洞补丁。

评论