http://www.microsoft.com/technet/security/bulletin/ms05-039.mspx),当收到、打开此病毒时,有以下危害:
A 创建 S-Y-B-O-T-By-Sky-Dancer 信号量来识别自身
B 复制自身到系统目录的hpsv.exe
C 增加键值"WINDOWS SYSTEM" = "botzor.exe"到注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\OLE
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
使得病毒每次开机后自动执行
D 打开后门连接到黑客指定的主机 sezen.aydankaya.org 的 TCP 端口 4455,等待黑客指令
E 允许黑客下载执行任意文件
F 打开 FTP 服务器,通过 TCP 端口 19907,让黑客从中毒机中下载复制任意文件
G 从中毒机的 IP 地址起生成系列地址
H 扫描地址是否有微软即插即用服务漏洞(参见微软安全公告MS05-039 http://www.microsoft.com/technet/security/bulletin/ms05-039.mspx)
I 如果成功扫描到,利用漏洞打开一个后门
J 通过后门,发送文件 2pac.txt,这个文件包括 FTP 脚本,来下载蠕虫
K 保存蠕虫为 haha.exe 文件并执行
L 通知 IRC 服务器被感染的 IP 地址,加入染毒列表
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2005-8-22
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
