Win32:Zapchast-O [Trj]

发布网友发布时间：2022-08-11 20:42

共2个回答

热心网友时间：2024-12-03 07:51

★ Win32/IRCBot.worm系列病毒变种及防治 ★

专杀工具下载网址：http://searchwin2000.techtarget.com.cn/tips/340/1917340.shtml

近来有用户向我们反映，系统感染了Win32/IRCBot.worm.64512.P的病毒，而不知道如何处理，我们的编辑搜集了相关的资料，希望能够对大家有所帮助。

Win32/IRCBot.worm.64512.P仍然是Win32/IRCBot.worm 蠕虫的变种之一。该蠕虫试图利用Windows的漏洞和SQL数据库中SA用户设置的密码过于简单的漏洞来传播。运行该程序会在Windows系统目录下生成wipv6.exe（64,512 bytes）和msdirectx.sys（6,656 bytes）文件。打开任意的TCP端口并试图从特定IRC服务器连接并以以管理者（Operator）的身份执行恶意控制。

中毒后的症状可以如下：

运行后显示如下症状：

在Window 系统目录下生成如下文件：

C:\Windows 系统目录\wipv6.exe (64,512 bytes)
C:\Windows 系统目录\msdirectx.sys (6,656 bytes)

注意：windows系统文件夹的类型以版本不同有差异。在Windows 95/98/Me 下C:\Windows\System, windows NT/2000, C:\WinNT\System32，windows XP是C:\Windows\System32 文件夹。

更改注册表当系统启动时自动运行：

HKEY_CURRENT_USER\Software\Microsoft\OLE
Windows IPv6 Drivers = wipv6.exe

HKEY_CURRENT_USER\Software\Micorsoft\Windows\CurrentVersion\Run
Windows IPv6 Drivers = wipv6.exe

HKEY_CURRENT_USER\Software\Micorsoft\Windows\CurrentVersion\RunServices
Windows IPv6 Drivers = wipv6.exe

HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
Windows IPv6 Drivers = wipv6.exe

HKEY_LOACL_MACHINE\SOFTWARE\Microsoft\Ole
Windows IPv6 Drivers = wipv6.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows IPv6 Drivers = wipv6.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows IPv6 Drivers = wipv6.exe

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa
Windows IPv6 Drivers = wipv6.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Windows IPv6 Drivers = wipv6.exe

HKEY_USERS\用户账户的 S-id 值\Software\Microsoft\OLE
Windows IPv6 Drivers = wipv6.exe

HKEY_USERS\用户账户的 S-id 值\Software\Microsoft\Windows\CurrentVersion\Run
Windows IPv6 Drivers = wipv6.exe

HKEY_USERS\用户账户的 S-id 值\Software\Microsoft\Windows\CurrentVersion\RunServices
Windows IPv6 Drivers = wipv6.exe

HKEY_USERS\用户账户的 S-id 值\SYSTEM\CurrentControlSet\Control\Lsa
Windows IPv6 Drivers = wipv6.exe

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msdirectx
ImagePath = \??\C:\Windows 系统目录\msdirectx.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdirectx
ImagePath = \??\C:\Windows 系统目录\msdirectx.sys

一般可运行的恶性功能如下

运行文件以及删除 (运行其它蠕虫, 病毒)
下载文件以及装入(盗取机密文件)
强制结束特定进程
确认系统信息 (泄露用户信息)
搜索网路
强制解除共享文件夹
强制结束系统的 DCOM 服务
MS-SQL 数据库中运行 xp_cmdshell 进程

参考资料：清石_清泉

热心网友时间：2024-12-03 07:52

这个木马的特征码是广告程序，建议您使用超级兔子卸戴所有的浏览器插件试试