内容

　　安天CERT小组近日截获一种新型的病毒,该病毒属网络蠕虫类,该病毒主要利用本月微软最高威胁等级漏洞:MS05-051传播，目前变种已经从.a发展到.c。

　　病毒自身为一个自解压的蠕虫，运行后会尝试扫描含有多个漏洞的主机，此病毒采用ROOTKIT技术隐藏部分文件，使得用户难以察觉。病毒溢出目标主机后，便会控制目标主机连接到一个动态的ftp服务器下载并运行一个新病毒等相关文件，新病毒将监控用户键盘，接受远程控制。该病毒对用户的威胁较大！

　　病毒列表

　　%System%winsResult.txt

　　%System%winsSqlExp.exe

　　%System%winsSqlExp1.exe

　　%System%winsSqlExp2.exe

　　%System%winsSqlExp3.exe

　　%System%winsSqlScan.exe

　　%System%winsSqltob.exe

　　%ProgramFiles%nzspfrwy.log

　　%ProgramFiles%nzspfrwy.dll

　　%ProgramFiles%nzspfrwy.dl1

　　%ProgramFiles%nzspfrwy.sys

　　端口扫描结果文件

　　Exploit.Win32.MS04-045.k

　　Exploit.Win32.MS05-039.ac

　　Exploit.Win32.MS05-051.d

　　Exploit.Win32.MSSQL-Hello.a

　　NetTool.Win32.TCPPortScanner

　　Net-Worm.Win32.Dasher.b

　　keylog文件

　　Backdoor.Win32.PcClient.ij

　　Backdoor.Win32.PcClient.hp

　　Backdoor.Win32.PcClient.ij

　　病毒标签

　　感染系统：Windows 2000、Windows XP、Windows 2003

　　危害等级：高

　　病毒类型：网络蠕虫

　　公开范围：完全公开

　　行为分析

　　1、病毒主要利用本月微软最高威胁等级漏洞：MS05-051传播，辅助以MS04045、MS05039、MSSQL.hello漏洞传播。

　　2、病毒运行后会扫描网络，目标地址多为国内ip，端口为1025、1433、42、445。

　　3、增加注册表键降低主机安全性：

　　 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters

　　 键名：SMBDeviceEnabled

　　 键值：dword:00000000

　　4、修改注册表键降低主机安全性：

　　 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMSDTC

　　 键名：Start

　　 修改为：dword:00000004

　　5、增加以下键值：

　　 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSsParameters

　　 键名：ServiceDll

　　 修改为：%ProgramFiles%nzspfrwy.dll

　　6、病毒还会增加如下服务：

　　 服务名称：nzspfrwy

　　 显示名称：nzspfrwy

　　 执行文件路径：C:Program Filesnzspfrwy.sys

　　--------------------------------------------------------------------------------

　　清除方案

　　1、使用安天木马防线可彻底清除此病毒（推荐）。

　　2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。