Worm.Win32.Francette.f.enc

病毒名称:

Worm.Win32.Francette.f.enc

类别： 蠕虫

病毒资料：

破坏方法：

利用DCOM RPC漏洞进行传播的蠕虫病毒

病毒运行后修改注册表：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

\Windows\CurrentVersion\Run

添加数据项"Microsoft IIS"

以达到其自启动的目的。

随机生成一个IP地址，并试图与这个IP进行连接。

如果连接成功，病毒将对该主机的TCP 135端口发送数据以检测该主机是否存在病毒所利用的DCOM RPC漏洞。

如果该主机存在病毒所利用的漏洞，病毒将发送一个特殊的数据包使病毒代码能够在对方主机上运行，导致对方主机到指定的网址下载病毒文件。

成功入侵后，病毒将会以一个特定的昵称加入指定的IRC频道，为其控制端提供远程控制服务。

建议用户到"WWW.Microsoft.com"网站下载"Microsoft Security Bulletin MS03-026"补丁程序并安装。

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2004-1-9