Worm.Dasher.a

病毒名称(中文):

大师

病毒别名:

威胁级别:

★★★☆☆

病毒类型:

蠕虫病毒

病毒长度:

影响系统:

WinNTWin2000WinXPWin2003

病毒行为:

该病毒是一个蠕虫病毒，利用微软分布式事务处理协调器服务漏洞（MicrosoftWindowsDistributedTransactionCoordinator，MicrosoftSecurityBulletinMS05-051）传播，该服务使用tcp1025端口。

病毒自己以RAR压缩后，发送出去

1.创建以下文件

%systemroot%\Temp\SqlExp.exe,病毒的破坏程序

%systemroot%\Temp\Sqlrep.exe,命令解析器

%systemroot%\Temp\SqlScan.exe,端口扫描程序

%systemroot%\Temp\Sqltob.exe,蠕虫的主程序

2.添加注册表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"WindowsUpdate"="%windir%\Temp\Sqltob.exe"

3.传建以下和溢出相关的文件

%systemroot%\Temp\SqlScan.bat

%systemroot%\Temp\log.txt

%systemroot%\Temp\Temp.txt

%systemroot%\Temp\Result.txt

4.使用SqlScan.bat去调用SqlScan.exe，来查找有该漏洞的主机

5.产生以下范围ip地址去攻击

A.A.1.1--B.B.255.254

A和B从以下数字58,59,60,61,62,80,81,82,83,84,85,130,133,140,160,162,163,165,168,193,194,195,200,202,203,210,211,213,217,218,219,220,221,222中随机抽取

6.假如远程计算机存在该漏洞，就会对该系统发出ShellCode，来溢出该计算机，溢出成功后该计算机会连向222.240.219.143，并且等待远程的控制