发布网友 发布时间:2024-11-02 09:05
共1个回答
热心网友 时间:2024-11-02 09:12
蠕虫病毒Win32.Duiskbot.AJ主要通过多种方式传播。首先,它利用漏洞探测潜在机器,如RealVNC Authentication Bypass漏洞(TCP 5800端口),MS SQL(TCP 1433端口)针对弱口令(如"sa", "root"或"admin")的攻击,MySQL(TCP 3306端口)以及Windows Server服务的缓冲区溢出漏洞(TCP 139端口)。
为了修复这些漏洞,相关系统补丁可在以下网站下载:Microsoft MS06-040和MS06-057。
Duiskbot.AJ尝试使用一系列弱口令进行攻击,包括但不限于"00000000"到"password"。蠕虫的活动包括探查系统,从被感染机器的IP地址特定范围开始,尝试所有可能的组合。控制者还可以指定其他目标范围。
一旦成功入侵,Duiskbot.AJ可能执行以下操作:使反病毒软件失效;写入并运行C:\1.vbs文件,下载并运行病毒副本;如果前两种方式失败,会写入FTP命令并在%System%\x文件中存储,通过FTP下载并运行病毒副本,然后删除相关文件。
病毒会使用"ageofempires.exe"的文件名保存,并可能伪装为redworld.exe、redworld2.exe或包含五位随机数字的文件名。Duiskbot.AJ也可能通过即时消息工具(如Yahoo! Messenger, MSN Messenger, ICQ或AOL Instant Messenger)进行传播,通过恶意链接发送信息。在受害者浏览器访问恶意页面时,病毒会从攻击主机下载并执行。
Win32/Duiskbot.AJ是一种IRC控制的蠕虫,通过攻击Server Service中的一个漏洞进行传播。它还可能发送一个包含蠕虫下载链接的即时消息。蠕虫的控制者能够请求它执行不同的操作,包括拒绝服务攻击、键盘记录、发送垃圾邮件、下载并运行任意文件。