Worm.Padobot.p

病毒别名：Worm.Win32.Padobot.p[AVP]W32.Korgo.W[诺顿]

处理时间：

威胁级别：★★

中文名称：潘都伯变种p

病毒类型：蠕虫

影响系统：Win9x/WinNT/Win2K/WinXP/Win2003

病毒行为:

潘都伯

编写工具:

传染条件:

A、利用Lsass漏洞（MS04-011)进行传播

B、

发作条件:

系统修改:

A、复制自身到

%System%\%Rand%.exe

%Rand%为随机文件名

B、

1、在注册表主键

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

添加如下两个键值之一：

"System Update"="%System%\%Rand%.exe"

"Cryptographic Service"="%System%\%Rand%.exe"

以便在计算机启动时加载病毒

2、在注册表主键

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWireless

添加如下键值：

"Client"="1"

"ID"="%Rand%"

3、删除注册表主键

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

以下键值

"Windows Security Manager"

"Disk Defragmenter"

"System Restore Service"

"Bot Loader"

"SysTray"

"WinUpdate"

"Windows Update Service"

"avserve.exe"

"avserve2.exeUpdate Service"

"MS Config v13"

"Windows Update"

C、如果蠕虫运行的文件夹内有以下

ftpupd.exe

则删除

D、创建如下互斥量

u8

u9

u10

u10x

u11

u11x

u12

u12x

u13

u13i

u13x

u14

u14x

u15

u15x

u16

u16x

u17

u17x

u18

u18x

u19

u19-2x

E、尝试在Explorer.exe 注入一个线程，如果成功，则病毒会在进程列表中消失

发作现象:

A、随机开放一个TCP端口，用于向其它计算机传送病毒。

B、尝试连接以下网站，以便自动更新病毒自身

adult-empire.com

asechka.ru

citi-bank.ru

color-bank.ru

crutop.nu

cvv.ru

fethard.biz

filesearch.ru

kavkaz.tv

kidos-bank.ru

konfiskat.org

master-x.com

mazafaka.ru

parex-bank.ru

roboxchange.com

www.redline.ru

xware.cjb.net

C、尝试利用Lsass漏洞（MS04-011）——与震荡波病毒利用的漏洞相同，对其它计算机进行溢出攻击。

特别说明: