账号:
密码:
最新动态
 
产业快讯
CTIMES/SmartAuto / 新闻 /
小心Poxdar骇虫利用微软新漏洞大量传送封包
 

【CTIMES / SMARTAUTO ABC_1 报导】    2005年04月04日 星期一

浏览人次:【4351】

Worm@W32.Poxdar骇虫利用微软新漏洞大量传送封包,执行后寄生在Explorer.exe上,任务管理器难以查出,而导致CPU资源严重负荷,因此系统会变得非常缓慢或者出现无响应情形。

此骇虫具有开启后门程序能力,会在一个随机的TCP port上开启一个代理服务器,随机选择IP攻击。骇虫会连续开启16384个Port,随机选择IP使用广播封包(Broadcast packets)攻击,主要会受影响的是Port 139、445具有SMB(Server Message Block),一旦被侦测到即中毒。值得注意的是,用户如浏览有此漏洞的网页也会中毒。

目前此病毒已经在国内逐渐蔓延。金帅提醒用户尽快至微软网站修补漏洞以免此骇虫入侵。若已经遭受感染者请先修补漏洞再使用防病毒软件清除此骇虫。

基本介绍:

病毒名称: Worm@W32.Poxdar

病毒别名: Net-Worm.Win32.Padobot.x [Kaspersky Lab],

W32/Doxpar.worm [McAfee], W32/Doxpar-A [Sophos],W32.Poxdar[symantec]

病毒型态: Worm , Backdoor , Network

病毒发现日期: 2005/03/31

利用漏洞:http://www.microsoft.com/taiwan/security/bulletin/MS05-011.mspx(中文)

影响平台 Windows 95/98/ME , Windows NT/2000/XP/2003

风险评估:

散播程度:中

破坏程度:中

Worm@W32.Poxdar 行为描述:

注:在Win95/98/me %System% 默认值为 C:\windows\System在WinNT/2000/XP/2003 %System% 系统默认值为 C:\WinNT\System32

1.骇虫会寄生在Explorer.exe,以致任务管理器无法查出,而且会导致CPU上引起100%的负荷,因此系统变得非常慢或者无响应。

2.骇虫会产生一个mutex叫LSD0,如此只有此骇虫能够在计算机上执行。

3.骇虫会检查下列程序的存在︰

wins

lsass

svchost

inetinfo

4.骇虫会藉由解析或侦测下列的网域来检查因特网链接:

www.altavista.com

www.google.com.au

www.yahoo.com.....等等

5.骇虫会在一个随机的TCP port上开启一个代理服务器。

6.骇虫会下载并执行%Temp%\.tmp。

7.骇虫会连续开启16384个Port,随机选择IP使用广播封包,(Broadcast packets)攻击,主要会受影响的是Port 139、445具有SMB(Server Message Block),一旦被侦测到即中毒。

8.用户如浏览有此漏洞的网页也会中毒。

9.透过病毒执行后,将骇虫本身复制到%System%[随机产生的文字]32.dll

10.骇虫会在此登录档下产生无意义的名称,值是随机产生的,此情形即可能是骇虫新增的,如此开机即会启动骇虫。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad"dapsiaz"="{AB142B5A-3787-4640-5CAB-5666DBA2940B}"

11.修改登录档,如此开机即会启动骇虫。

HKEY_CLASSES_ROOT\CLSID\[random CLSID]"InprocServer32"="%System%\[随机产生的文字]32.dll"

12.骇虫会在下列的登录值中产生登录档:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\COM+

關鍵字: 網際軟體發展工具  应用软体类 
相关新闻
调查:社群平台有显着世代差距 35岁以上为FB重点用户
宜特再获USB-IF授权 全面领航USB4、PD 测试
末代川普回锅 中经院示警须留意供应链二次移转
意法半导体公布第三季财报 工业市场持续疲软影响销售预期
资策会四项创新技术勇夺ASOCIO DX AWARD奖项
comments powered by Disqus
相关讨论
  相关文章
» 您需要了解的五种软体授权条款
» 使用PyANSYS探索及优化设计
» 能耗个个击破 5G与AI的节能之战
» 为AI注入理解力
» 深度资讯编码架构之探讨


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 远播信息股份有限公司版权所有 Powered by O3  v3.20.1.HK8BA9QT8TYSTACUKZ
地址:台北数位产业园区(digiBlock Taipei) 103台北市大同区承德路三段287-2号A栋204室
电话 (02)2585-5526 #0 转接至总机 /  E-Mail: webmaster@ctimes.com.tw