【轉貼】《Spybot.15》間諜駭蟲允許駭客控制電腦，並透過AOL即時通訊軟體散播

[andylau927]

Spybot.15 駭蟲是個有名的間諜駭蟲，當電腦被感染，便會開啟後門程式，遠端的駭客即可控制該台電腦，此駭蟲不斷變種，散播途徑也可透過AOL即時通訊軟體散播，它會傳送超連結訊息，使用者點選即會下載並執行該駭蟲，也可能經由網路分享散播。

基本介紹：
病毒名稱：[email protected]
病毒別名：WORM_AIMDES.E [Trend Micro],W32.Spybot.ABDO[symantec]
病毒型態：Worm , Backdoor , AOL
病毒發現日期：2005/12/12
利用漏洞：
MS04-011(英文)
MS04-011(中文)
影響平台：Windows 95/98/ME , Windows NT/2000/XP/2003
風險評估：
散播程度：中
破壞程度：中
[email protected]ot.15 行為描述：
註：%Windir%代表系統所在目錄，在Win95/98/me系統預設值為 C:\windows
在WinNT/2000/XP/2003系統預設值為 C:\WinNT
駭蟲會產生一個系統服務：
Service Name: lsass
Display Name: Local Security Authority Subsystem Service
Description: Microsoft Path Finder Service Displays Internet Routing Paths
試圖停止下列系統服務：
Tlntsvr (Telnet)
RemoteRegistry (Remote Registry)
Messenger (Messenger)
SharedAccess (Windows Firewall/ICS)
wscsvc (Security Center)
開啟後門程式，允許駭客執行下列行為：
下載並執行檔案
列出、停止和啟動程序
執行 ACK、SYN、UDP 和 ICMP denial of service attacks
執行 port redirection
透過IRC 傳送檔案
啟動當地 FTP 伺服器
掃瞄網路其他台電腦
注滿 DNS 和 ARP caches
開啟命令介面
重新開機
取得系統資訊
探測網路流量
偷取安裝軟體的密碼
鍵盤側錄
透過AOL Instant Messenger 傳送下列含有超連結的訊息，點選即下載駭蟲：
This AIM user has sent you a Christmas Card! To open it please visit:
[http:/ /]greetings.aol.com/[REMOVED]/index.pd?source=greetingscard?my_christmas_card.scr
病毒執行後，將駭蟲本身複製到%Windir%
lsass.exe
修改登錄檔，如此使DCOM失效。
HKEY_LOCAL_MACHINE\Software\Microsoft\OLE
"EnableDCOM" = "N"