病毒标签

　　病毒名称： Net-Worm.Win32.Padobot.z

　　病毒类型： 网络蠕虫

　　危害等级： 中

　　文件长度： 46,592字节

　　感染系统： windows 98 及以上版本

　　开发工具： LCC-win32 v1.03

　　加壳类型： ASPack

　　病毒描述

　　该病毒属网络蠕虫类，病毒主要利用Microsoft Windows LSASS缓冲器溢出漏洞进行传播。病毒运行后，病毒会复制自身到%System%目录，同时在这个目录生成一个DLL文件。病毒还会修改注册表，修改系统设置，从而在每次系统启动时加载生成的DLL文件。病毒还会在系统根目录下释放病毒文件"boot.sys"，病毒通过随机生成IP地址，并尝试连接目标IP地址的445端口，病毒还会尝试从几个网站窃取信息。

　　行为分析

　　1、病毒释放相关文件：

　　 %System%Diohjbik.exe

　　 %System%Bbbckp32.dll

　　系统所在根目录下释放病毒相关文件："boot.sys"，其中这个dll文件名是随机产生的8个字符，最后两位可能以'32'结尾。

　　2、修改注册表文件：

　　以便在每次系统启动时加载生成的DLL文件

　　HKEY_CURENT_USERCLSID{random _id}InProcServer32(Default) = "%System%.dll"

　　HKEY_CURENT_USERCLSID{random_id}InProcServer32ThreadingModel = "Apartment"

　　HKEY_LOCAL_METHINESoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad = {random_id }

　　HKEY_CURENT_USER SoftwareMicrosoftWindowsKKQHOOK = 28

　　大量修改以下子键的键值，降低IE的安全设置：

　　HKEY_CURENT_USER SoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones

　　HKEY_LOCAL_METHINE SoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones

　　3、病毒还会删除某些服务，列表如下：

　　kmxfw　　　　UmxCfg　　　　　sfilter

　　kmxfile　　　　UmxAgent　　　　lnsfw1

　　kmxcfg　　　　UmxLU　　　　　OutpostFirewall

　　kmxbig　　　　UmxPol

　　kmxagent　　　SmcService

　　4、尝试从这个网站中获取信息：

　　new.egg.com

　　royalbank.com

　　www.allahabadbank.com

　　www.baltbank.ru

　　www.bmo.com

　　www.cbr.ru

　　www.masterbank.ru

　　5、病毒利用Microsoft Windows LSASS缓冲器溢出漏洞进行传播。

　　--------------------------------------------------------------------------------

　　清除方案

　　1、使用安天木马防线可彻底清除此病毒（推荐）。

　　2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。