I-Worm/Plexus.c
I-Worm/Plexus.c
病毒长度:16,208 字节
病毒类型:网络蠕虫
危害等级:**
影响平台:Win9X/2000/XP/NT/Me
I-Worm/Plexus.c是用自带的SMTP引擎群发蠕虫邮件的网络蠕虫病毒,通过网络共享和Kazaa文件共享软件进行传播,利用LSASS漏洞和DCOM RPC漏洞通过TCP端口135和445进行传播。
传播过程及特征:
1.复制自身:
%Windir%system32upu.exe
2.修改注册表:
添加键值
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
"NvClipRsv"="<蠕虫路径>"
3.在注册表HKEY_CURRENT_USERSoftwareKazaaTransfer下搜索键值"DlDir0",用以发现Kazaa共享文件夹。
一旦发现后便复制自身到此目录,文件名为下列之一:
AVP5.xcrack.exe
hx00def.exe
ICQBomber.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
UnNukeit9xNTICQ04noimageCrk.exe
YahooDBMails.exe
此外还复制自身到网络共享目录下,文件名为:
hx00def.exe
ICQBomber.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
UnNukeit9xNTICQ04noimageCrk.exe
YahooDBMails.exe
4.修改hosts(%Windir%system32driversetchosts )文件,添加下列内容:
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
5.监听TCP端口1250,一旦建立连接便从远程计算机接收文件并保存为%Temp%\_up.exe,然后开始运行接收的文件。
任意监听一个端口,建立连接后可能发送蠕虫到远程计算机。
6.遍历从C到Y的所有固定驱动器,并从.htm, .html, .php, .tbb, .txt等类型的文件中搜索有效的邮件地址,
对于带有一些特殊字符串的地址予以放弃,一般和国内外大型信息及安全提供商有关联。
并利用自带的SMTP引擎发送自身到上述地址,邮件特征:
主题:下列之一
RE: order
For you
Hi, Mike
Good offer.
RE:
附件:下列之一
SecUNCE.exe
AtlantI.exe
AGen1.03.exe
demo.exe
release.exe
并避免发送邮件到国内外各大安全信息厂商。
注:%Windir%为变量,一般为C:Windows 或 C:Winnt;
%System%为变量,一般为C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000),
或 C:WindowsSystem32 (Windows XP)。