使用RPC漏洞传播的蠕虫病毒一旦执行,将释放以下两个文件到系统目录:
winlogin.exe
yuetyutr.dll
WINLOGIN.EXE :就是蠕虫“Worm.RPC.Sdbot”,它将YUEYUTR.DLL注入到资源管理器的进程内存中YUEYUTR.DLL :是此病毒用来传播的组件,它运行后将探测网络上存在RPC DCOM漏洞的机器,如果存在病毒则在此机器上打开4444端口,运行一个远程shell<此shell的代码与病毒Worm.Blaster的是同一个>,随后创建一个线程来模拟一个TFTP服务器<本机>,病毒随后命令中毒机器<远程>从本机TFTP服务器下载winlogin.exe并执行,进行下一次传播流程。
其它信息:
病毒使用的是SDBOT的变种,一种IRC病毒,此种SDBOT是一种后门病毒,它可以连接到指定的IRC服务器上并使用随机的昵称加入到指定的channel中。
病毒通过Microsoft windows的RPC漏洞进行传播RPC漏洞详情请访问微软网站:
http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.ASP
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Runonce
winlogon = "winlogin.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run
NdplDeamon = "winlogin.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run
winlogon = "winlogin.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon
Shell = "eXPlorer.exe winlogin.exe"
在Windows 95, 98, and ME系统上,病毒修改文件:SYSTEM.INI
[boot]
shell = explorer.exe winlogin.exe
4444.691.在win2k下有可能导致资源管理启动异常
2.病毒进行RPC DCOM漏洞探测时可能导致系统重启
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2003-8-14
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
