Worm.Win32.MS08-067.c病毒分析与处理.pptVIP

Worm.Win32.MS08-067.c 病毒分析与处理 病毒名称： Worm.Win32.MS08-067.c 中毒后最典型迹象：杀毒软件无法正常升级，瑞星、微软等网站不能访问，显示隐藏文件选项不能修改。 主要特点和危害：传播速度快，传播途径多，不容易彻底清除。 传播方式及感染途径： Worm.Win32.MS08-067.c是以微软系统MS08-067漏洞为主要传播手段的蠕虫病毒。病毒自身带一个弱密码表，枚举网络中计算机的用户名和密码，利用 IPC$ ADMIN$ 共享复制病毒到远程计算机然后通过Rundll32远程启动，枚举驱动器创建自身到 RECYCLER、System32文件夹下从而完成在计算机中的传播。 另外该病毒还可通过U盘等移动存储设备以自动加载自运行的方式进行传播。 传播方式及感染途径： 病毒行为分析： 首先病毒会判断系统版本是否是 Win2K/ XP 以上系统，如果是病毒才继续执行。并且为病毒进程添加 SeDebugPrivilege 权限，对本机的计算机名称进行 CRC32 计算，通过得到的 CRC32 值创建病毒互斥量，判断自己是否是 rundll32.exe 程序启动的。如果不是就判断是否能找到svchost.exe -k netsvcs 或者explorer.exe 进程，将自己代码加载到那两个进程中的某一个上，然后修改注册表不显示隐藏文件，