一、病毒描写:
近日,一种新的BOT蠕虫现身网络,该蠕虫应用最新的MS06040破绽传布,目前已经有多个变种。从剖析上看,基础目标为动员谢绝服务攻击,蠕虫重要内置了syn/udp/scan等命令。
二、病毒基础情形:
[File Info]
File: C:\WIN2K\system32\wgareg.exe
Size|Attrib: 0x2589 (9609), (disk) 0x2589 (9609) | (attrib) archive
Packer:MEW
三、病毒行动:
1、病毒体履行后,将自身拷贝到体系目录:
%System%\wgareg.exe
创立文件:%windir%\Debug\dcpromo.log
2、添加体系服务确保自身在系统重启动后被加载:
服务名:wgareg
显示名称:Windows Genuine Advantage Registration Service
服务描写:Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.
对应文件:%System%\wgareg.exe
3、衔接IRC地址,接收远程命令把持:
域名:ypgw.wallloan.com
bniu.househot.com
IRC IP:58.81.137.157 端口:18067
IRC IP:61.163.231.115 端口:18067
IRC IP:202.121.199.200 端口:18067
IRC IP:61.189.243.240 端口:18067
...
4、修正多处注册表键,用以封闭杀毒软件、防火墙下降体系安全性。
5、该蠕虫和还会下载其它木马,目前截获下载的木马为:Trojan-Proxy.Win32.Ranky.fv
四、临时解决计划:
1、防火墙处禁止TCP端口: 139、445
2、启用TCP/IP筛选功效进行过滤。
3、应用IPSec来禁止受影响的端口拜访。