簡介
病毒別名: 處理時間:2007-04-19 威脅級別:★★中文名稱: 病毒類型:蠕蟲 影響系統:Win 2000/NT,Win XP,Win 2003
病毒行為:
這是一個後門病毒,它利用了Windows DNS伺服器的RPC漏洞進行傳播,
並開放一個後門連線埠,接受黑客的控制指令.
1:拷貝病毒體
病毒運行後,會把自己拷貝到系統目錄下
%system%\\mdnex.exe
之後病毒體會自刪除
2:添加自啟動項
病毒會添加自啟動項
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
Microsoft DNSx = "%system%\\mdnex.exe"
使自己能隨Windows啟動.
3:連線IRC接受命令
病毒會打開一個隨機連線埠,並連線以下3個IRC
is.wayne.brady.gonna.have.to.choke******.us
symantec.has.sand.in.its.******.xxx
x.*****ewaffles.us
接受並回響黑客發出的指令,使計算機成為殭屍網路的一部分.
4:病毒傳播
病毒會會隨機生成一個IP,並向該IP位址傳送數據包,利用DNS服務遠程溢出漏洞(1025連線埠)和
遠程服務溢出漏洞(139連線埠)進行傳播,該數據包是經過特殊設計的,使該IP的計算機的棧溢出,
並運行數據包中的ShellCode,而ShellCode正是下載和運行病毒體的代碼,使遠程計算機下載
http://www.******.com/radi.exe到C:\\radi.exe上,並運行此檔案.
但病毒體不會向此IP段傳送數據包:
192.168.*.*
10.*.*.*
111.*.*.*
15.*.*.*
16.*.*.*
101.*.*.*
110.*.*.*
112.*.*.*
170.65.*.*
172.*.*.*
該漏洞存在於以下打開了DNS服務(Domain Name System)的伺服器系統:
Windows 2000 Server Service Pack 4
Windows Server 2003 Service Pack 1
Windows Server 2003 Service Pack 2
建議用戶及時打補丁,對於DNS服務的漏洞,微軟暫無相應的補丁,但可以通過修改註冊表禁止DNS服務的RPC功能,
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters下創建一個名為"RpcProtocol"的
DWORD值,並設定數值為4,然後重啟DNS服務.若非必要時建議關閉DNS服務,並禁止445連線埠的TCP與UDP連線,
1024,1025連線埠未明的訪問.
