“魔波（Worm.Mocbot.a）”蠕虫病毒分析报告

“魔波（worm.mocbot.a）”蠕虫病毒分析报告 ,最近很流行的一种病毒杀伤力相当大,有点想以前的冲击波~!

“魔波（worm.mocbot.a）”蠕虫病毒分析报告

病毒名称：魔波（worm.mocbot.a）
　　　　　魔波变种b（worm.mocbot.b）
文件类型：pe
驻留内存：是
文件大小：9,313 bytes md5: 2bf2a4f0bdac42f4d6f8a062a7206797（worm.mocbot.a）
　　　　　9,609 bytes md5: 9928a1e6601cf00d0b7826d13fb556f0（worm.mocbot.b）
发现日期：2006-8-14
危害等级：★★★★
受影响系统：windows2000/xp
该病毒利用ms06-040漏洞进行传播。传播过程中可导致系统服务崩溃，网络连接被断开等现象。

        被感染的计算机会自动连接指定的irc服务器，被***远程控制，同时还会自动从互联网上下载的一个名为“等级代理***变种awp（trojan.proxy.ranky.awp）”的***病毒。
分析报告：
一、 生成文件：
“魔波（worm.mocbot.a）”病毒运行后，将自身改名为“wgavm.exe”并复制到%system%中。
“魔波变种b（worm.mocbot.b）”病毒运行后，将自身改名为“wgareg.exe”并复制到%system%中。
二、 启动方式：
病毒会创建系统服务，实现随系统启动自动运行的目的。
“魔波（worm.mocbot.a）”：
服务名: wgavm
显示名: windows genuine advantage validation m
描述: ensures that your copy of microsoft windows is genuine. stopping or disabling this service will result in system instability.
“魔波变种b（worm.mocbot.b）”
服务名: wgareg
显示名: windows genuine advantage registration service
描述: ensures that your copy of microsoft windows is genuine and registered. stopping or disabling this service will result in system instability.
三、 修改注册表项目，禁用系统安全中心和防火墙等
hkey_local_machinesoftwaremicrosoftsecurity center
antivirusdisablenotify = "dword:00000001"
antivirusoverride = "dword:00000001"
firewalldisablenotify = "dword:00000001"
firewalldisableoverride = "dword:00000001"
hkey_local_machinesoftwaremicrosoftole
enabledcom = "n"
hkey_local_machinesystemcurrentc
restrictan = "dword:00000001"
hkey_local_machinesystemcurrentc
servicessharedaccess
start = "dword:00000004"
hkey_local_machinesoftwarepoliciesmicrosoft
windowsfirewalldomainprofile
enablefirewall = "dword:00000000"
hkey_local_machinesoftwarepoliciesmicrosoft
windowsfirewallstandardprofile
enablefirewall = "dword:00000000"
hkey_local_machinesystemcurrentc
lanmanserverparameters
autosharewks = "dword:00000000"
autoshareserver = "dword:00000000"
四、 连接irc服务器，接受***指令
自动连接ypgw.wallloan.com、bniu.househot.com服务器，接受指令。使中毒计算机可被***远程控制。
五、 试图通过aim(aol instant messegger)传播
会在aim(aol instant messegger)中发送消息，在消息中包含一个url(下载地址)，如果用户点击地址并下载该地址的程序，则好友列表里的人都将收到该条包含url的消息。
六、 利用ms06-040漏洞传播
该病毒会利用microsoft windows server服务远程缓冲区溢出漏洞（ms06-040 microsoft windows的server服务在处理rpc通讯中的恶意消息时存在溢出漏洞，远程***者可以通过发送恶意的rpc报文来触发这个漏洞，导致执行任意代码)
微软的补丁地址：http://www.microsoft.com/technet/security/bulletin/ms06-040.mspx?pf=true
七、 自动在后台下载其它病毒
会自动从互联网上下载名为“等级代理***变种awp（trojan.proxy.ranky.awp）”，该病毒会在用户计算机tcp随机端口上开置后门。
魔鬼波蠕虫专杀工具下载: http://www.77941.com/down/107.html

转载于:https://blog.51cto.com/richardlee/5117