“震荡波清除者”
国家计算机病毒应急处理中心16日发布病毒名称:“震荡波清除者”(worm_cycle.a)
感染系统: win2000/winxp/win2003/win nt 4.0
病毒特征:
1、生成病毒文件
病毒在%system%目录下生成自身的拷svchost.exe,还在%windows%目录下生成文件cyclone.txt。
2、修改注册表项
病毒创建注册表项,使得自身能够在系统启动时自动运行,在hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun下创建“generic host service”=“%%system%svchost.exe”hkey_current_usersoftwaremicrosoftwindowscurrentversionrun下创建“generic host service”=“%system%svchost.exe”
3、通过系统漏洞主动进行传播
病毒在tcp/3332端口开启后门服务,接受连接,在udp/69端口上运行一个tftp服务器下载蠕虫副本。病毒对外连接随机产生主机的tcp/445端口,去感染其他的主机。
4、 终止进程
病毒会终止以下进程,msblast.exe、avserve.exe、avserve2.exe和skynetave.exe,这些进程是"冲击波"、"震荡波"病毒及他们的变种创建的。
5、发动dos攻击
当系统时间为5月18日,病毒对网站www.irna.com 和www.bbcnews.com发动dos攻击。
最近没什么毒吧
还是咬定以下
页:
[1]