Worm.Zotob.E

病毒别名：

处理时间：2005-08-17

威胁级别：★★

中文名称：狙击波变种E

病毒类型：蠕虫

影响系统：Win 2000/NT

病毒行为:

这是一个蠕虫病毒,该病毒会开启后门并且利用Plug and Play(MS05-039漏洞)对TCP445端口进行缓冲区溢出攻击.受影响的只有windows2000操作系统,在其他系统病毒可以运行,但不会受感染.

1.建立互斥变量"wintbp.exe", 使病毒只有一个在运行.

2.把病毒本身拷贝到:

%System%wintbp.exe

3.添加起始项,使病毒开机运行:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

"Wintbp" = "wintbp.exe"

4.尝试链接网络来判断机器的网络是否连通和路由能力;

5.尝试通过8080端口开启后门和72.20.27.115建立链接;

6.开启多个TCP端口;

7.产生随机IP地址,并且尝试利用Plug and Play(MS05-039漏洞)对TCP445端口进行缓冲区溢出攻击.

8.在目标机器上尝试建立一个下载蠕虫地址的TFTP脚本文件,下载的蠕虫病毒文件名为%Temp%[NUMBER].bat ,并且会运行该病毒,该病毒会记录下已经成功进行溢出机器IP地址,并且把该地址加到IRC聊天室频道中.