“温瑟”病毒[编辑]

病毒名：Trojan/Winser.a

病毒类型：木马、蠕虫

病毒大小：139264字节

传播方式：网络

危害程度：★★

2005年1月10日，江民反病毒中心截获利用微软WINS溢出漏洞（MS04-045）传播的木马病毒Trojan/Winser.a。被该病毒攻击的计算机会打开后门端口，下载病毒程序，还会通过IRC接收并执行多种黑客命令。

针对WINS溢出漏洞，微软已经发布了安全更新程序，下载链接：

http://www.microsoft.com/technet/security/bulletin/MS04-045.mspx

病毒具体技术特征如下：

1. 病毒运行后，将创建下列文件：

%SystemDir%\ccEvtMngr.exe，139264字节，病毒主程序

%SystemDir%\ccSetMngr.exe，45056字节，漏洞利用工具（Exploit.MS04045.WinsExp）

2. 添加服务“NetTcpd”，服务程序指向%SystemDir%\ccEvtMngr.exe

3. 在注册表中添加下列启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"nortonsantivirus" = %SystemDir%\ccEvtMngr.exe

这样，在Windows启动时，病毒就可以自动执行。

4.
病毒主程序ccEvtMngr.exe调用释放出来的WINS漏洞利用工具ccSetMngr.exe，攻击远程计算机。被攻陷的远程计算机将反向连接攻击主机的37264/TCP端口。

5. 病毒启动一个用于接受反向连接的线程，向远程计算机发送后门命令。这些后门命令将在远程计算机上创建一个FTP脚本，用于下载病毒程序。

6. 病毒还会在感染主机的36010/TCP端口上建立一个FTP服务，提供病毒自身程序文件的下载。

7.
接受并执行来自IRC的多种后门命令，黑客通过在IRC上发送这些命令，可以完全控制被感染的计算机。命令列表如下：

!cpu

!disk

!ver

!exec [command]

!restart

!autohack

!hack

!scan

!remove

!nick

!rshell

!bshell

!srscan

!rscan

!raw

!Massfuckingremove

!chaxport

!chaxpw

!chaxchan

!chaxsrv

!cport

!cchan

!rooted

!op

网络营销词典内容均由网友提供，仅供参考。如发现词条内容有问题，请发邮件至info # wm23.com。