Worm/Randon.ax

王朝百科·作者佚名 2010-01-30

宽屏版字体: 小 | 中 | 大 | 超大

Worm/Randon.ax

病毒长度：1,223,314 Bytes

病毒类型：网络蠕虫

危害等级：*

影响平台：Win9X/2000/XP/NT/Me/2003

Worm/Randon.ax使黑客完全控制感染的计算机，它由多个文件组成，Ratsou.exe 是安装文件，大约1.2MB。

传播过程及特征：

1.创建文件夹：%Windir%System32DriversDsdn36,并在此插入下列文件：

Aim.dll

Aim.txt

C.dll

Crazy.exe

Empavms.exe

Flood.ocx

Ipservers.dll

Java.dll

Libparse.exe

Lsass.exe

Miconfig.exe

Moo.dll

Msccl.dll

Msconig.exe

Newuser.bat

Nhtml.dll

Regedit.dll

Remote.ini

Restart.exe

Sipg.ocx

Start.ocx

Sysboot.dll

Sysconfig.ocx

Syste32.dll

Temp

Unicod_look

Unicod_ready

Users.dll

Wincmd35.bat

Wind.dll

2.在 %System% 文件夹下插入文件：

explorer.dll

iexplore.dll

3.修改注册表：

添加键值：

"HID.EXE"="%windir%system32dsdn36lsass.exe"

"lsass"="%windir%system32dsdn36lsass.exe"

到注册表：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下。

4.在注册表HKEY_LOCAL_MACHINESoftwareClasses下挂钩到IRC文件，导致一旦打开chat文件时便调用%Windir%System32Dsdn36lsass.exe。

病毒一旦在系统上运行，就会在TCP端口6667连接一个IRC服务器，并加入到一个特定的聊天频道，从而使黑客可以控制感染病毒的计算机。此外还可能打开TCP端口31337。