|
1 、衍生下列副本与文件:
%System32%\iexplorer.exe
%System32%\jhxn.exe
2 、新建注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Advanced
DHTML Enable
Value: String: "%WinDir%\System32\ jhxn.exe "//此处文件名为随机生成
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft
Internet Explorer
Value: String: "%WinDir%\System32\ iexplore.exe"//此处文件名可能为
Firewall.exe
3 、创建大量扫描线程用以扫描存在漏洞的本地网络。
4 、自动连接的IRC服务器:
220.198.59.***:9928
220.196.59.***:3938
67.43.236.**:2938
5 、连接IRC服务器信息如下:
USER oursxb oursxb oursxb :qdvwwaiuhmiyjygl
NICK eIBnErNT
PING :66609D09
PONG :66609D09
:@_@ 001 eIBnErNT:
MODE eIBnErNT +xi
JOIN #siwa
USERHOST eIBnErNT
:x.hub.x 332 eIBnErNT
#siwa :=xAgVMf81RvN+xBBhG+xXwttpTsaSBfWeekvMkmkVNcbo20jZvmkCo7CUU
bRsdRPzz6wiS1OY8pcXg3d9ucVufq2bgQ1mvh+9OBJDwIuw1kOamPaw+2jw/CTaWV
QRjrX8Xl2Iph
6 、病毒体下载的地址:
Host: 220.196.59.***/packed_7711.exe
7 、创建自删除批处理文件删除自身。
8 、病毒可利用以下漏洞传播自身:
LSASS (MS04-011),
SRVSVC (MS06-040),
RPC-DCOM (MS04-012),
PNP (MS05-039),
网络共享及弱口令
注:%System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的
安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
|
病毒标签:
病毒上报信箱: