查人人中国名人网天蝎行动丹麦迅雷:Worm.MSBlaster.6176(冲击波)攻击
来源:百度文库 编辑:查人人中国名人网 时间:2024/05/06 01:43:40
大哥,那该怎么解决呢???
病毒名称:Wrom.MSBlaster.6176
病毒类型:蠕虫
病毒长度:6176
危害级别:中
传播速度:高
技术特征:
该病毒利用RPC漏洞进行快速传播。病毒程序才用UPX压缩,仅有6K。较小的体积是能让其在网络上快速传播的重要原因之一。
病毒行为:
1、创建一个名为"BILLY"的互斥体,如果该进程已经存在,则退出。
2、添加如下注册表键值:"windows auto update"="msblast.exe"在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下,以使蠕虫可以开机自动运行。
3、计算IP地址:
a. 第三段是小于20的随机数,第四段从0—255 (40%的几率)
b. 随机产生前三段,第四段为0。 (60%的几率)
4、发送数据到被攻击的计算机的TCP 135端口(DCOM RPC漏洞),在被攻击计算机创建一个隐藏的CMD.exe Shell, 使其监听 TCP 4444端口,发送的数据不对可能会导致受攻击的计算机崩溃。
5、监听 UDP 69端口,当有服务请求,就发送Msblast.exe文件。
6、发送命令到远端计算机(被攻击计算机), 以使其连接被感染计算机(本地计算机)下载并运行Msblast.exe。
7、如果当前月份大于8月,或当前日期大于15号,对"Windowsupdate.com"实施DoS攻击。
8、该蠕虫包含有如下不会被显示的字符串:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!