Worm@W32.Poxdar駭蟲利用微軟新漏洞大量傳送封包，執行後寄生在Explorer.exe上，工作管理員難以查出，而導致CPU資源嚴重負荷，因此系統會變得非常緩慢或者出現無回應情形。

此駭蟲具有開啟後門程式能力，會在一個隨機的TCP port上開啟一個代理伺服器，隨機選擇IP攻擊。駭蟲會連續開啟16384個Port，隨機選擇IP使用廣播封包(Broadcast packets)攻擊，主要會受影響的是Port 139、445具有SMB(Server Message Block)，一旦被偵測到即中毒。值得注意的是，用戶如瀏覽有此漏洞的網頁也會中毒。

目前此病毒已經在國內逐漸蔓延。金帥提醒使用者盡快至微軟網站修補漏洞以免此駭蟲入侵。若已經遭受感染者請先修補漏洞再使用防毒軟體清除此駭蟲。

基本介紹：

病毒名稱： Worm@W32.Poxdar

病毒別名： Net-Worm.Win32.Padobot.x [Kaspersky Lab],

W32/Doxpar.worm [McAfee], W32/Doxpar-A [Sophos],W32.Poxdar[symantec]

病毒型態： Worm , Backdoor , Network

病毒發現日期： 2005/03/31

利用漏洞：http://www.microsoft.com/taiwan/security/bulletin/MS05-011.mspx(中文)

影響平台 Windows 95/98/ME , Windows NT/2000/XP/2003

風險評估：

散播程度：中

破壞程度：中

Worm@W32.Poxdar 行為描述：

註：在Win95/98/me %System% 預設值為 C:\windows\System在WinNT/2000/XP/2003 %System% 系統預設值為 C:\WinNT\System32

1.駭蟲會寄生在Explorer.exe，以致工作管理員無法查出，而且會導致CPU上引起100%的負荷，因此系統變得非常慢或者無回應。

2.駭蟲會產生一個mutex叫LSD0，如此只有此駭蟲能夠在電腦上執行。

3.駭蟲會檢查下列程序的存在︰

wins

lsass

svchost

inetinfo

4.駭蟲會藉由解析或偵測下列的網域來檢查網際網路連結：

www.altavista.com

www.google.com.au

www.yahoo.com.....等等

5.駭蟲會在一個隨機的TCP port上開啟一個代理伺服器。

6.駭蟲會下載並執行%Temp%\.tmp。

7.駭蟲會連續開啟16384個Port，隨機選擇IP使用廣播封包，(Broadcast packets)攻擊，主要會受影響的是Port 139、445具有SMB(Server Message Block)，一旦被偵測到即中毒。

8.用戶如瀏覽有此漏洞的網頁也會中毒。

9.透過病毒執行後，將駭蟲本身複製到%System%[隨機產生的文字]32.dll

10.駭蟲會在此登錄檔下產生無意義的名稱，值是隨機產生的，此情形即可能是駭蟲新增的，如此開機即會啟動駭蟲。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad"dapsiaz"="{AB142B5A-3787-4640-5CAB-5666DBA2940B}"

11.修改登錄檔，如此開機即會啟動駭蟲。

HKEY_CLASSES_ROOT\CLSID\[random CLSID]"InprocServer32"="%System%\[隨機產生的文字]32.dll"

12.駭蟲會在下列的登錄值中產生登錄檔：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\COM+