童夢 ![]() | 【轉貼】《Spybot.15》間諜駭蟲允許駭客控制電腦,並透過AOL即時通訊軟體散播 Spybot.15 駭蟲是個有名的間諜駭蟲,當電腦被感染,便會開啟後門程式,遠端的駭客即可控制該台電腦,此駭蟲不斷變種,散播途徑也可透過AOL即時通訊軟體散播,它會傳送超連結訊息,使用者點選即會下載並執行該駭蟲,也可能經由網路分享散播。 基本介紹: 病毒名稱:[email protected] 病毒別名:WORM_AIMDES.E [Trend Micro],W32.Spybot.ABDO[symantec] 病毒型態:Worm , Backdoor , AOL 病毒發現日期:2005/12/12 利用漏洞: MS04-011(英文) MS04-011(中文) 影響平台:Windows 95/98/ME , Windows NT/2000/XP/2003 風險評估: 散播程度:中 破壞程度:中 [email protected]ot.15 行為描述: 註:%Windir%代表系統所在目錄,在Win95/98/me系統預設值為 C:\windows 在WinNT/2000/XP/2003系統預設值為 C:\WinNT 駭蟲會產生一個系統服務: Service Name: lsass Display Name: Local Security Authority Subsystem Service Description: Microsoft Path Finder Service Displays Internet Routing Paths 試圖停止下列系統服務: Tlntsvr (Telnet) RemoteRegistry (Remote Registry) Messenger (Messenger) SharedAccess (Windows Firewall/ICS) wscsvc (Security Center) 開啟後門程式,允許駭客執行下列行為: 下載並執行檔案 列出、停止和啟動程序 執行 ACK、SYN、UDP 和 ICMP denial of service attacks 執行 port redirection 透過IRC 傳送檔案 啟動當地 FTP 伺服器 掃瞄網路其他台電腦 注滿 DNS 和 ARP caches 開啟命令介面 重新開機 取得系統資訊 探測網路流量 偷取安裝軟體的密碼 鍵盤側錄 透過AOL Instant Messenger 傳送下列含有超連結的訊息,點選即下載駭蟲: This AIM user has sent you a Christmas Card! To open it please visit: [http:/ /]greetings.aol.com/[REMOVED]/index.pd?source=greetingscard?my_christmas_card.scr 病毒執行後,將駭蟲本身複製到%Windir% lsass.exe 修改登錄檔,如此使DCOM失效。 HKEY_LOCAL_MACHINE\Software\Microsoft\OLE "EnableDCOM" = "N" |
回覆 |
|
XML | RSS 2.0 | RSS |
本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。