概要
病毒別名:處理時間:2004-04-16
威脅級別:★
中文名稱:
病毒類型:蠕蟲
影響系統:Windows 2000, Windows XP
病毒行為:
編寫工具:
傳染條件:
通過 TCP 連線埠 135 利用 DCOM RPC 漏洞(如Microsoft 安全公告 MS02-026 中所述)。該蠕蟲利用此漏洞專門攻擊 Windows XP 計算機。
通過 TCP 連線埠 80 利用 WebDav 漏洞(如 Microsoft 安全公告 MS03-007 中所述)。該蠕蟲利用此漏洞專門攻擊運行 Microsoft IIS 5.0 的計算機。該蠕蟲利用這些漏洞,將會影響 Windows 2000 系統,並可能影響 Windows NT/XP 系統。
通過 TCP 連線埠 445 利用 Workstation 服務緩衝區溢出漏洞(如 Microsoft 安全公告 MS03-049 中所述)。
通過 TCP 連線埠 445 利用 Locator 服務漏洞(如 Microsoft 安全公告 MS03-001 中所述)。該蠕蟲利用此漏洞專門攻擊 Windows 2000 計算機
發作條件:
系統修改:
1,創建一個名為“WksPatch_Mutex”的互斥體。此互斥僅允許一個蠕蟲實例在記憶體中執行。
2,將自身複製為 %System%driverssvchost.exe
3,創建下列服務:
服務名稱:WksPatch
服務二進制檔案:%System%driverssvchost.exe
服務顯示名:結構形式為 %string1% %string2% %string3%,其中:
%string1% 為下列項目之一:
System
Security
Remote
Routing
Performance
Network
License
Internet
%string2% 為下列項目之一:
Logging
Manager
Procedure
Accounts
Event
%string3% 為下列項目之一:
Provider
Sharing
Messaging
Client
例如,服務顯示名可能為“Security Logging Sharing”。
如果存在名為“RpcPatch”的服務,請將其刪除。
4,通過查找以下註冊表鍵,檢查是否存在 W32.Mydoom.A@mm 和 W32.Mydoom.B@mm 蠕蟲:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
ExplorerComDlg32Version
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
ExplorerComDlg32Version
將嘗試刪除 W32.Mydoom.A@mm 和 W32.Mydoom.B@mm 蠕蟲。該蠕蟲通過執行下列操作實現這一點:
刪除下列檔案:
%System%ctfmon.dll
%System%Explorer.exe
%System%shimgapi.dll
%System%taskmon.exe
從註冊表鍵刪除值“Taskmon”:
HEKY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionRun
5,還原下列值:
"@"="%SystemRoot%System32webcheck.dll"
該值位於以下註冊表鍵:
HKEY_LOCAL_MACHINECLSID
InProcServer32
6,用下列文本覆蓋 HOSTS 檔案:
#
#
127.0.0.1 localhost
生成隨機 IP 地址,然後向這些 IP 地址傳送利用的數據,以嘗試感染系統:
向 TCP 連線埠 135 傳送數據以利用 DCOM RPC 漏洞。
向 TCP 連線埠 80 傳送數據以利用 WebDav 漏洞。
向 TCP 連線埠 445 傳送數據以利用 Workstation 服務漏洞。
向 TCP 連線埠 445 傳送數據以利用 Locator 服務漏洞。
在隨機 TCP 連線埠上運行 HTTP 伺服器,以便存在漏洞的計算機可以重新連線到受感染計算機,然後進行本地下載並將蠕蟲作為 WksPatch.exe 執行。
如果受感染計算機的作業系統版本為日文版,請在 IIS Virtual Roots 和 %Windir%Help\IISHelpcommon 資料夾中搜尋具有下列擴展名的檔案:
.shtml
.shtm
.stm
.cgi
.php
.html
.htm
.asp
7,如果受感染計算機上安裝的是中文、朝鮮語或英語版的作業系統,從 Microsoft Windows Update 網站下載下列補丁之一:
download.microsoft.com/download/4/d/3/4d375d48-04c7-411f-959b-3467c5ef1e9a
/WindowsXP-KB828035-x86-CHS.exe
download.microsoft.com/download/a/4/3/a43ea017-9abd-4d28-a736-2c17dd4d7e59
/WindowsXP-KB828035-x86-KOR.exe
download.microsoft.com/download/e/a/e/eaea4109-0870-4dd3-88e0-a34035dc181a
/WindowsXP-KB828035-x86-ENU.exe
download.microsoft.com/download/9/c/5/9c579720-63e9-478a-bdcb-70087ccad56c
/Windows2000-KB828749-x86-CHS.exe
download.microsoft.com/download/0/8/4/084be8b7-e000-4847-979c-c26de0929513
/Windows2000-KB828749-x86-KOR.exe
download.microsoft.com/download/3/c/6/3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9
/Windows2000-KB828749-x86-ENU.exe
8,安裝補丁,然後重新啟動計算機。
該蠕蟲將在 2004 年 6 月 1 日或運行 120 天之後(二者中較早的日期)自行終止
