首页 >> 漏洞公告 >> 文章阅读

Worm.Win32.MS08-067.d病毒分析

发布日期:2009/5/20 9:39:39     来自:互联网

这是一个利用微软漏洞进行传播的蠕虫病毒。它利用微软操作系统的MS08-067漏洞,将自己植入未打补丁的电脑,并以局域网、U盘等多种方式传播。
 
    病毒运行后会进行以下操作:
 
    1、首先病毒会判断系统版本是否是 Win2000或 WinXP 以上系统,如果是病毒才继续执行;
 
    2、给病毒所在进程添加 SeDebugPrivilege 权限,对本机计算机名称进行 CRC32 计算,通过得到的 CRC32 值创建病毒互斥量,判断自己是否是 rundll32.exe 程序启动的;
 
    3、判断是否能找到"svchost.exe -k netsvcs" 或者explorer.exe 进程,将自己代码放到那两个中的一个里面去,然后修改注册表不显示隐藏文件;
 
    4、针对services.exe、"svchost.exe -k netsvcs"、"svchost.exe -k NetworkService"进程进行DNS查询以及TCP传输过程拦截;
 
    5、针对杀毒软件关键字进行过滤,其中包含 rising、avast、nod32、mcafee 等等。使当前中毒计算机无法访问安全厂商的网站;
 
    6、停止 wscsvc、wuauserv、BITS、WinDefend、Windows Defender、ERSvc、WerSvc服务,并且改为手动;
 
    7、枚举网络计算机的用户名和自带的密码表,利用 IPC$  ADMIN$ 共享复制病毒到远程计算机然后通过Rundll32远程启动,创建自身到 RECYCLER、System32文件夹下面,尝试访问 http://www.getmyip.org等网站得到中毒计算机的IP。通过访问http://www.google.com、http://www.baidu.com等等网站得到当前月数。再通过时间经过内置算法计算病毒的升级链接,方便病毒作者不更新。
  • 软件下载
  • 在线答疑
  • 网络报修
  • 系统开发

南昌航空大学信息中心版权所有
联系电话:0791-83863780
通讯地址:江西省南昌市红谷滩丰和南大道696号 南昌航空大学