基本内容

Worm.Win32.DDos.a

病毒分析

该蠕虫程序激活后，在%systemroot%/system32下随机生成一个文件名类似系统程序或常用软件的文件（如：Isass.exe，winamp.exe，csrs.exe等），其文件类型为隐藏的系统文件；用命令行启动winamp.exe程序；修改注册表，在HKLM下的RUN中新建名为Client Server Runtime Process的项使病毒能随系统的启动而运行；添加Windows防火墙规则，使winamp.exe与外部通信不被拦截；枚举局域网地址，试图通过弱口令在局域网中传播感染其它主机；通过注册表查找用户计算机上的FlashFXP的文件路径，从size.dat文件中获取用户使用的ftp及tftp地址，通过弱口令进入FTP并传播病毒；在后台开启一个CMD进程，并与黑客进行连接，接受黑客指令，当满足一定的的条件时便向指定的服务器发起攻击。

病毒添加的注册表项：

项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Process

指向文件：C:\WINDOWS\system32\winamp.exe

病毒修改的注册表项：

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

键值：C:\WINDOWS\system32\ winamp.exe

指向文件：C:\WINDOWS\system32\ winamp.exe:*:Enabled:Client Server Runtime Process

感染对象

Windows 98\ Windows ME\Windows 2000/Windows XP/Windows 2003

传播途径

网络传播、局域网传播、黑客攻击

安全提示www.

已安装微点主动防御软件的用户，无论您是否已经升级到最新版本，微点主动防御都能够有效防御该蠕虫程序。

如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选.择删除处理.