Worm.Zotob.a

该病毒通过MS05-039漏洞进行传播.病毒会向未感染的机器发生漏洞溢出数据包,如果攻击失败,受攻击的机器会发生崩溃,出现倒计时对话框,用户可以通过网络防火墙关闭445端口,以阻止攻击.用户一旦感染该病毒,就会通过IRC被病毒传播者控制.该病毒还会禁止用户更新安全软件.

基本信息

影响系统：Win 2000/NT,Win XP,Win 2003

1. 病毒将自身复制到以下目录：

%system%\botzor.exe

2. 在注册表中添加如下键值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService

"WINDOWS SYSTEM" = "botzor.exe"

以在每次启动时运行

3. 修改以下服务

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess

"Start" = 0x00000004

以阻止WinXP自带的防火墙运行

4.通过MS05-039进行攻击

// -=PNP445=- //transfer complete to ip:

5.病毒会创建以下互斥量,以保证系统只一个进程运行

B-O-T-Z-O-R

6.病毒文件中含有以下作者信息