Worm.Mocbot.a:資料,分析報告,生成檔案,啟動方式,修改註冊表項目,連

該病毒利用MS06-040漏洞進行傳播。傳播過程中可導致系統服務崩潰，網路連線被斷開等現象。

被感染的計算機會自動連線指定的IRC伺服器，被黑客遠程控制，同時還會自動從網際網路上下載的一個名為“等級代理木馬變種AWP（Trojan.Proxy.Ranky.awp）”的木馬病毒。

基本介紹

中文名：Worm.Mocbot.a
發現日期：2006-8-14
危害等級：★★★★
受影響系統：Windows2000/XP

資料,分析報告,生成檔案,啟動方式,修改註冊表項目,連線IRC伺服器，接受黑客指令,試圖通過AIM,利用MS06-040漏洞傳播,自動在後台下載其它病毒,

資料

病毒名稱：魔波（Worm.Mocbot.a）魔波變種B（Worm.Mocbot.b）

檔案類型：PE

駐留記憶體：是

檔案大小：9,313 bytes MD5: 2bf2a4f0bdac42f4d6f8a062a7206797（Worm.Mocbot.a）

9,609 bytes MD5: 9928a1e6601cf00d0b7826d13fb556f0（Worm.Mocbot.b）

分析報告

：

生成檔案

：

“魔波（Worm.Mocbot.a）”病毒運行後，將自身改名為“wgavm.exe”並複製到%SYSTEM%中。

“魔波變種B（Worm.Mocbot.b）”病毒運行後，將自身改名為“wgareg.exe”並複製到%SYSTEM%中。

啟動方式

：

病毒會創建系統服務，實現隨系統啟動自動運行的目的。

“魔波（Worm.Mocbot.a）”：

服務名: wgavm

顯示名: Windows Genuine Advantage Validation Monitor

描述: Ensures that your copy of Microsoft Windows is genuine. Stopping or disabling this service will result in system instability.

“魔波變種B（Worm.Mocbot.b）”

服務名: wgareg

顯示名: Windows Genuine Advantage Registration Service

描述: Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.

修改註冊表項目

，禁用系統安全中心和防火牆等

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center

AntiVirusDisableNotify = "dword:00000001"

AntiVirusOverride = "dword:00000001"

FirewallDisableNotify = "dword:00000001"

FirewallDisableOverride = "dword:00000001"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole

EnableDCOM = "N"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

restrictanonymous = "dword:00000001"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

Services\SharedAccess

Start = "dword:00000004"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\

WindowsFirewall\DomainProfile

EnableFirewall = "dword:00000000"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\

WindowsFirewall\StandardProfile

EnableFirewall = "dword:00000000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

lanmanserver\parameters

AutoShareWks = "dword:00000000"

AutoShareServer = "dword:00000000"

連線IRC伺服器，接受黑客指令

自動連線ypgw.wallloan.com、bniu.househot.com伺服器，接受指令。使中毒計算機可被黑客遠程控制。

試圖通過AIM

(Aol Instant Messegger)傳播

會在AIM(Aol Instant Messegger)中傳送訊息，在訊息中包含一個URL(下載地址)，如果用戶點擊地址並下載該地址的程式，則好友列表里的人都將收到該條包含URL的訊息。

利用MS06-040漏洞傳播

該病毒會利用Microsoft Windows Server服務遠程緩衝區溢出漏洞（MS06-040 Microsoft Windows的Server服務在處理RPC通訊中的惡意訊息時存在溢出漏洞，遠程攻擊者可以通過傳送惡意的RPC報文來觸發這個漏洞，導致執行任意代碼)

微軟的補丁地址：http://www.microsoft.com/technet/security/bulletin/ms06-040.mspx?pf=true

自動在後台下載其它病毒

會自動從網際網路上下載名為“等級代理木馬變種AWP（Trojan.Proxy.Ranky.awp）”，該病毒會在用戶計算機TCP隨機連線埠上開置後門。

Worm.Mocbot.a