电脑基础操作系统办公应用程序设计网站开发数据库图形图像网络技术信息安全媒体制作认证考试硬件维修电脑综合
  
当前位置:主页   - 电脑 - 信息安全 - 病毒防治
Net-Worm.Win32.ZoTob.b分析
来源:网络   作者:   更新时间:2012-08-18
收藏此页】    【字号    】    【打印】    【关闭

  病毒标签

  病毒名称:Net-Worm.Win32.ZoTob.b

  病毒类型:蠕虫

  危害等级:高

  文件长度:15.386字节

  感染系统:Win2000相关版本

  开发工具:VC

  加壳类型:Upack

  行为分析

  1.拷贝自身到%System%csm.exe。

  2.添加注册表键值确保重启动后被自动加载:

  键路径:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

  键名:csm Win Updates

  键值:csm.exe

  键路径:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

  键名:csm Win Updates

  键值:csm.exe

  3.关闭WINDOWS共享访问服务:

  键路径:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess

  键名:Start

  原键值:dword:00000003

  修改为:dword:00000004

  4.关闭机子内置的小喇叭音量。

  5.修改SoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3 配置参数降低IE安全。

  6.开启FTP服务在本地TCP 33333端口。

  7.连接IRC Server wait.atillaekici.net 的8080端口接受控制。

  8.溢出成功后,SHELLCODE开启8888端口,传输2pac.txt到被感染主机,并执行2pac.txt文件中的FTP脚本下载自身。

  9.修改主机HOST文件,增加如下内容:

  .... Made By .... Greetz to good friend ..... Based On ....

  MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!

  127.0.0.1 www.symantec.com

  127.0.0.1 securityresponse.symantec.com

  127.0.0.1 symantec.com

  127.0.0.1 www.sophos.com

  127.0.0.1 sophos.com

  127.0.0.1 www.mcafee.com

  127.0.0.1 mcafee.com

  127.0.0.1 liveupdate.symantecliveupdate.com

  127.0.0.1 www.viruslist.com

  127.0.0.1 viruslist.com

  127.0.0.1 viruslist.com

  127.0.0.1 f-secure.com

  127.0.0.1 www.f-secure.com

  127.0.0.1 kaspersky.com

  127.0.0.1 kaspersky-labs.com

  127.0.0.1 www.avp.com

  127.0.0.1 www.kaspersky.com

  127.0.0.1 avp.com

  127.0.0.1 www.networkassociates.com

  127.0.0.1 networkassociates.com

  127.0.0.1 www.ca.com

  127.0.0.1 ca.com

  127.0.0.1 mast.mcafee.com

  127.0.0.1 my-etrust.com

  127.0.0.1 www.my-etrust.com

  127.0.0.1 download.mcafee.com

  127.0.0.1 dispatch.mcafee.com

  127.0.0.1 secure.nai.com

  127.0.0.1 nai.com

  127.0.0.1 www.nai.com

  127.0.0.1 update.symantec.com

  127.0.0.1 updates.symantec.com

  127.0.0.1 us.mcafee.com

  127.0.0.1 liveupdate.symantec.com

  127.0.0.1 customer.symantec.com

  127.0.0.1 rads.mcafee.com

  127.0.0.1 trendmicro.com

  127.0.0.1 pandasoftware.com

  127.0.0.1 www.pandasoftware.com

  127.0.0.1 www.trendmicro.com

  127.0.0.1 www.grisoft.com

  127.0.0.1 www.microsoft.com

  127.0.0.1 microsoft.com

  127.0.0.1 www.virustotal.com

  127.0.0.1 virustotal.com

  127.0.0.1 www.amazon.com

  127.0.0.1 www.amazon.co.uk

  127.0.0.1 www.amazon.ca

  127.0.0.1 www.amazon.fr

  127.0.0.1 www.paypal.com

  127.0.0.1 paypal.com

  127.0.0.1 moneybookers.com

  127.0.0.1 www.moneybookers.com

  127.0.0.1 www.ebay.com

  127.0.0.1 ebay.com

  --------------------------------------------------------------------------------

  清除方案

  1、使用安天木马防线可彻底清除此病毒(推荐)。

  2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。

其它资源
本类热门
热门排行
来源声明

版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明