Worm@W32.Poxdar骇虫利用微软新漏洞大量传送封包,执行后寄生在Explorer.exe上,任务管理器难以查出,而导致CPU资源严重负荷,因此系统会变得非常缓慢或者出现无响应情形。
此骇虫具有开启后门程序能力,会在一个随机的TCP port上开启一个代理服务器,随机选择IP攻击。骇虫会连续开启16384个Port,随机选择IP使用广播封包(Broadcast packets)攻击,主要会受影响的是Port 139、445具有SMB(Server Message Block),一旦被侦测到即中毒。值得注意的是,用户如浏览有此漏洞的网页也会中毒。
目前此病毒已经在国内逐渐蔓延。金帅提醒用户尽快至微软网站修补漏洞以免此骇虫入侵。若已经遭受感染者请先修补漏洞再使用防病毒软件清除此骇虫。
基本介绍:
病毒名称: Worm@W32.Poxdar
病毒别名: Net-Worm.Win32.Padobot.x [Kaspersky Lab],
W32/Doxpar.worm [McAfee], W32/Doxpar-A [Sophos],W32.Poxdar[symantec]
病毒型态: Worm , Backdoor , Network
病毒发现日期: 2005/03/31
利用漏洞:http://www.microsoft.com/taiwan/security/bulletin/MS05-011.mspx(中文)
影响平台 Windows 95/98/ME , Windows NT/2000/XP/2003
风险评估:
散播程度:中
破坏程度:中
Worm@W32.Poxdar 行为描述:
注:在Win95/98/me %System% 默认值为 C:\windows\System在WinNT/2000/XP/2003 %System% 系统默认值为 C:\WinNT\System32
1.骇虫会寄生在Explorer.exe,以致任务管理器无法查出,而且会导致CPU上引起100%的负荷,因此系统变得非常慢或者无响应。
2.骇虫会产生一个mutex叫LSD0,如此只有此骇虫能够在计算机上执行。
3.骇虫会检查下列程序的存在︰
wins
lsass
svchost
inetinfo
4.骇虫会藉由解析或侦测下列的网域来检查因特网链接:
www.altavista.com
www.google.com.au
www.yahoo.com.....等等
5.骇虫会在一个随机的TCP port上开启一个代理服务器。
6.骇虫会下载并执行%Temp%\.tmp。
7.骇虫会连续开启16384个Port,随机选择IP使用广播封包,(Broadcast packets)攻击,主要会受影响的是Port 139、445具有SMB(Server Message Block),一旦被侦测到即中毒。
8.用户如浏览有此漏洞的网页也会中毒。
9.透过病毒执行后,将骇虫本身复制到%System%[随机产生的文字]32.dll
10.骇虫会在此登录档下产生无意义的名称,值是随机产生的,此情形即可能是骇虫新增的,如此开机即会启动骇虫。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad"dapsiaz"="{AB142B5A-3787-4640-5CAB-5666DBA2940B}"
11.修改登录档,如此开机即会启动骇虫。
HKEY_CLASSES_ROOT\CLSID\[random CLSID]"InprocServer32"="%System%\[随机产生的文字]32.dll"
12.骇虫会在下列的登录值中产生登录档:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\COM+