TA的每日心情 | 郁闷
2014-6-11 10:23 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
5楼
楼主 |
发表于 2004-6-27 23:33:11
|
只看该作者
新病毒W32/XTC 介绍
--------------------------------------------------------------------------------
基本情况:
这是一个乱发邮件的网络蠕虫及后门特洛伊,它还可以通过打开本地局域网的共享区进行传播。该蠕虫是经过加密
并压缩的可执行文件。它利用网络聊天室及FTP协议进行更新,使蠕虫在当前状态下得到发展。病毒可能作为邮件的附件
被发送,邮件包含下面的信息:
From: support@avx.com
Subject: AVX update notification
Body:
"Hi, We would like to notify you about the newest software designed by SOFTWIN company. This program
constantly monitors the net for the newest viral treats and anti-virus databases. In the case some
new virus is in-the-wild, it will immediatelly ask you to download the newest version of AntiVirus
eXpert 2000 (AVX). It's small, it's efficent, it's secure and powerful. No special licence is needed,
it's freeware. We hope you enjoy AntiVirus eXpert and share it with your friends.
Best regards,
AVX developement team."
Attachment: SERVICES.EXE
执行该附件机器将被感染
感染迹象:
—更改了IE的默认起始页和搜索页。
—存在下列注册键:
HKLM\Software\Microsoft\Windows\CurrentVersion\
Run\XTCUpdate=C:\WINDOWS\SERVICES.EXE
感染方式:
当运行该蠕虫时将执行下列工作:
—检查当前是否存在反调试软件,如果存在,则将该程序停止并显示ERROR消息框。
—在Windows目录下创建SERVICES.EXE文件。
—在Windows 9x/ME 系统下,创建下列注册键:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\XTCUpdate=C:\WINDOWS\SERVICES.EXE
该蠕虫还执行这些附加任务:
—搜索"Temporary Internet Files" 文件夹下的.HTML文件中的EMAIL地址,并将自身发送该这些地址。
—当打开本地局域网的 共享区时病毒进行传播。
—更改IE的默认其始页和搜索页。
—连接到IRC服务器并加入可以控制染毒机器的channels,并执行下列任务:
启动一个DDoS攻击;
向一个特殊的EMAIL地址发送蠕虫;
卸载该蠕虫;
下载文件并执行;
运行IRC命令;
获取染毒机器的机器名;
创建并删除目录及文件;
执行一个程序。
|
|
|
|
|
|
|
|
|
|
发表于 2004-6-26 21:44:14
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
转播
淘帖
支持
反对
变色卡
