瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【翻译】病毒警报:W32.Zotob.A资料(目前已经有一变种)

1   1  /  1  页   跳转

【翻译】病毒警报:W32.Zotob.A资料(目前已经有一变种)

收藏
天下奇才
头像
卡卡巡查
  • 帖子:28107
  • 注册: 2001-11-04
  • 来自:卡卡女性协会
卡卡风雨同舟勋章论坛8周年活动礼物卡卡名人堂论坛9周年纪念10温馨圣诞
发表于: 2005-08-15 18:17 | 只看楼主 短消息 资料
字号: 1楼

【翻译】病毒警报:W32.Zotob.A资料(目前已经有一变种)

病毒名:W32.Zotob.A
类型:蠕虫
长度:22,528 bytes
影响系统:Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP


1 建立以下互斥体,让蠕虫在计算机中运行
B-O-T-Z-O-R

2 复制自己到%System%目录下,命名为botzor.exe

3 写入注册表,使其随系统启动
把"WINDOWS SYSTEM" = "botzor.exe"写入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

4 修改键值,使Windows 2000/XP共享数据库失效
修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess,"Start" = "4"

5 创建IRC连接到diabl0.turkcoders.net

6 开放FTP服务器

7 企图传播到存在Microsoft Windows Plug and Play Service漏洞的机子

8 下载病毒

9 修改HOST文件
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com




变种(W32.Zotob.B)基本与他相同,只是把文件变成了csm.exe



最后编辑2005-08-15 20:32:54
分享到:
gototop
 
天下奇才
头像
卡卡巡查
  • 帖子:28107
  • 注册: 2001-11-04
  • 来自:卡卡女性协会
卡卡风雨同舟勋章论坛8周年活动礼物卡卡名人堂论坛9周年纪念10温馨圣诞
发表于: 2005-08-15 18:18 | 只看楼主 短消息 资料
字号: 2楼

gototop
 
baoheMM
头像
快乐黄口狮
  • 帖子:293
  • 注册: 2005-08-03
  • 来自:
发表于: 2005-08-15 19:43 | 短消息 资料
字号: 3楼

【回复“天下奇才”的帖子】

大哥全是英文不懂
gototop
 
bobo无极限
头像
初生襁褓狮
  • 帖子:12325
  • 注册: 2005-07-08
  • 来自:
发表于: 2005-08-15 19:50 | 短消息 资料
字号: 4楼

关注
gototop
 
天天泡泡
头像
卡卡技术团队
  • 帖子:17486
  • 注册: 2004-01-21
  • 来自:安徽安庆
论坛8周年活动礼物卡卡名人堂
发表于: 2005-08-15 19:55 | 短消息 资料
字号: 5楼

已经加上其他信息一并添加到置顶的帖子中,谢谢奇才!
gototop
 
cher
头像
初生襁褓狮
  • 帖子:336
  • 注册: 2005-06-13
  • 来自:
发表于: 2005-08-15 20:20 | 短消息 资料
字号: 6楼

好像瑞星的17.40.02有提到这个病毒。关注!
gototop
 
JayFaye
头像
叱咤花甲狮
  • 帖子:3546
  • 注册: 2004-08-15
  • 来自:
发表于: 2005-08-15 20:31 | 短消息 资料
字号: 7楼

变种KV已经可以查杀了...
瑞星看来明天升级后可以查杀或者今晚说不定有紧急升级
gototop
 
CrossVirus
头像
初生襁褓狮
  • 帖子:1756
  • 注册: 2004-06-29
  • 来自:
发表于: 2005-08-15 20:32 | 短消息 资料
字号: 8楼

JayFaye有样本吗?
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT