您现在的位置: 首页 > 病毒库 > 蠕虫病毒
Win32.Poza
发布时间:2004-12-27 18:42:00
病毒名称:Win32.Poza
其它名称:W32.Blaster.Worm;W32/Lovsan.worm;冲击波
病毒属性:蠕虫病毒 危害性:中等危害 流行程度:
具体介绍:

  Win32.Poza是一种通过互联网传播的蠕虫病毒。它利用了Windows中最近被发现的针对RPC服务的安全缺陷。关于此漏洞的更多信息可以访问: http://www.microsoft.com/technet/security/bulletin/MS03-026.asp 。此蠕虫能够使系统崩溃,并迅速向其他容易受到攻击的电脑蔓延。

  蠕虫会创建一个名为"BILLY"的互斥体来避免重复感染,也会在注册表中创建下面这个键值,以便每次Windows一启动蠕虫文件就自动运行:

SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update = "msblast.exe"

  蠕虫会创建一个TFTP服务来监听端口69,以便与其他有此漏洞的电脑进行通信。

蠕虫会随机生成IP地址,并搜索此IP地址段内的所有电脑。如果发现有端口135开放的机器,蠕虫就会使用文件TFTP.EXE通过FTP方式来从远程计算机上下载病毒文件MSBLAST.EXE(文件大小为 6,176 字节,经过UPX压缩),从而进行传播(注意:TFTP.EXE是一种ftp工具,默认安装于Win2000及其后版本的Windows中)。

蠕虫会尝试感染装有Win 2000及Win XP操作系统的电脑。


如果当前月份大于8月,或当前日期大于15日,蠕虫会创建一个系统进程,用来连续不断的向windowsupdate.com发送随机数据,引起一个针对此Windows升级网站的DDOS攻击(拒绝服务攻击),从而导致该网站堵塞,使用户无法通过该网站升级系统。

蠕虫本身还包含有下列字符信息:

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
(比尔·盖茨,你为什么要使这种攻击成为可能?不要再挣更多的钱了,好好修正你发行的软件吧。)

清除:

kill版本: