複製鏈接
請複製以下鏈接發送給好友
https://baike.baidu.hk/item/狙擊波/272205
複製
複製成功

狙擊波

鎖定
該病毒通過MS05-039漏洞進行傳播.病毒會向未感染的機器發生漏洞溢出數據包,如果攻擊失敗,受攻擊的機器會發生崩潰,出現倒計時對話框,用户可以通過網絡防火牆關閉445端口,以阻止攻擊.用户一旦感染該病毒,就會通過IRC被病毒傳播者控制.該病毒還會禁止用户更新安全軟件.
中文名
狙擊波
外文名
Worm.Zotob.a
處理時間
2005-08-15
病毒類型
蠕蟲
威脅級別
★★★

目錄

  1. 1 病毒資料
  2. 2 病毒分析

狙擊波病毒資料

影響系統:Win 2000/NT,Win XP,Win 2003

狙擊波病毒分析

1. 病毒將自身複製到以下目錄:
%system%\botzor.exe
2. 在註冊表中添加如下鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService
"WINDOWS SYSTEM" = "botzor.exe"
以在每次啓動時運行
3. 修改以下服務
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
"Start" = 0x00000004
以阻止WinXP自帶的防火牆運行
4.通過MS05-039進行攻擊
// -=PNP445=- //transfer complete to ip:
5.病毒會創建以下互斥量,以保證系統只一個進程運行
B-O-T-Z-O-R
6.病毒文件中含有以下作者信息
Botzor2005 By DiablO
7.病毒會鏈接
diabl0.turk*****s.net
網站的IRC頻道,以接受病毒傳播者的控制.
8. 修改Host文件
Botzor2005 Made By .... Greetz to good friend Coder. Based On HellBot3
MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!
n127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com