|
|
我晕~你看懂了 NAV 的提示没有!?我中过这个病毒~在 NAV 2004 下中病毒后会有三次提示~第一次提示在硬盘中发现病毒并且已经删除病毒~第二次报告成功拦截该病毒的非法远程连接。最后次报该系统尝试修复病毒文件失败(此病毒本身就一个 exe 是病毒体不会感染其它 exe 修复当然失败了。)最后你可以在隔离区内找到该病毒的样本。专杀工具的英文提示应该是没有在你的系统中发现病毒……并不是删除失败。
此病毒文件在系统中的名字是:%Windir%\system32\drivers\svchost.exe~它第一次入侵你的电脑是利用如下几个系统漏洞:
通过 TCP 端口 135 利用 DCOM RPC 漏洞(如Microsoft 安全公告 MS02-026 中所述)。该蠕虫利用此漏洞专门攻击 Windows XP 计算机。
通过 TCP 端口 80 利用 WebDav 漏洞(如 Microsoft 安全公告 MS03-007 中所述)。该蠕虫利用此漏洞专门攻击运行 Microsoft IIS 5.0 的计算机。该蠕虫利用这些漏洞,将会影响 Windows 2000 系统,并可能影响 Windows NT/XP 系统。
通过 TCP 端口 445 利用 Workstation 服务缓冲区溢出漏洞(如 Microsoft 安全公告 MS03-049 中所述)。
通过 TCP 端口 445 利用 Locator 服务漏洞(如 Microsoft 安全公告 MS03-001 中所述)。该蠕虫利用此漏洞专门攻击 Windows 2000 计算机。
我使用 fileinfo 3.01 扫描病毒文件得知使用的是 UPX 0.9~1.24 加的壳但实际用 UPXShell 3.0 脱不了壳 -_-b 估计是用 Upxfx 保护过了~在 Win98 下用 Filescaner 成功脱壳(我有研究壳的不良嗜好……)
此病毒在利用漏洞成功控制你的计算机后会干这几件事情~
1.建立远程 telnet 连接~并把自己复制到目标机器的 %systemroot%/Documents and seetings/your user name/Localsettings/Template/WksPatch
2.运行自己~然后往注册表里灌键值。(具体会造成多一个名为 WksPatch 的奇怪服务)
以上为自己通过 NAV 2004 分析出的系统特征~不过由于此病毒驻留内存的程序名字是 svchost.exe 所以……(旧版本的 nav 可能无法清除)
此贴由 莫尼卡 在 2004-03-12 08:59:47 最后编辑 |
|
|
|
|
|
|
|
|
|
楼主
发表于 2004-3-11 22:43:33
