建议大家尽快升级杀毒软件病毒库一、病毒评估
1.病毒中文名:假警察
2.病毒英文名:Worm.Win32.Dabber.a
3.病毒别名:Worm.Win32.Dabber.A (AVP)
4.病毒大小:29,696字节
5.病毒类型:蠕虫病毒
6.病毒危险等级:★★★★
7.病毒传播途径:系统漏洞/后门
8.病毒依赖系统:Windows 9X(可感染,但无危害)NT/2000/XP(可危害)
二、技术细节
1.复制自己到系统目录并实现自启动
病毒运行后,将自己复制到%SYSTEM%目录,c:Documents and SettingsAll UsersMain menuProgramsStartUp目录及c:Documents and SettingsAll UsersStart MenuProgramsStarup目录中,文件名为:package.exe。在注册表HKEY_LOCAL_MACHINESOFTWARE
MicrosoftWindowsCurrentVersionRun中加入自己的键值:sassfix=%system%package.exe,病毒使用"sas4dab"为互斥量。
2.试图清除一些病毒的注册表键值:
尝试删除注册表Run项中的以下键值,使之不能正常启动:
Video Process.
TempCom.
SkynetRevenge
MapiDrv
BagleAV
System Updater Service
soundcontrl
WinMsrv32
drvddll.exe
navapsrc.exe
skynetave.exe
Generic Host Service
Windows Drive Compatibility
windows.Microsoft Update
Drvddll.exe
Drvddll_exe
drvsys
drvsys.exe
ssgrate
ssgrate.exe
lsasss
lsasss.exe
avserve2.exe
avvserrve32.avserve
3.建立四个线程实现一些功能。
(1)后门:
病毒监视9898端口,等待客户端的连接。该后门可以执行一些如:执行文件,从特定网站下载文件等功能。
(2)TFTP服务器:
病毒监听69端口,实现一个tftp服务器,一旦病毒成功的利用漏洞攻击一个系统后被攻入的系统将从利用该服务器将病毒复制过去执行。以达到传播的目的。
(3)一个空线程:
病毒作者并没有实现任何代码。(可能下个版本将实现)
(4)利用漏洞进行攻击
病毒利用本地系统的ip进行计算,找到攻击目标地址并尝试对其5554端口(震荡波的后门)的连接。
A.如果联接失败:
病毒将尝试对其9898端口的连接(用以识别目标系统是否已被病毒感染过),失败(目标系统没有被病毒感染)时病毒利用MS04-011漏洞对目标系统进行攻击,并利用自己的tftp服务器将自己复制过去。
B.联接成功:
病毒将尝试对其9898端口的连接(用以识别目标系统是否已被病毒感染过)当失败(目标系统没有被病毒感染)时病毒利用震荡波的后门将自己复制过去。
手动清除方法
(1) 打开注册表编辑器,删除如下键值<如果存在的话>:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Sassfix=%SYSTEM%package.exe
(2) 打开任务管理器查看是否存在进程名为: package.exe(文件为%SYSTEM%package.exe)终止它
(3) 将%SYSTEM%system,C:Documents and SettingsAll UsersMain menuProgramsStartUp目录及C:Documents and SettingsAll UsersStart MenuProgramsStarup目录下的文件: package.exe删除。
注:%SYSTEM%是Windows系统的核心动态库所在目录,在Windows 9X/ME下默认为:C:WINDOWSSYSTEM,Windows 2000/XP下默认为:C:WINNTSYSTEM32。