中华网通行证
用户名 密码
  科技动态 硬件广场 下载基地 网络教室 网络冲浪 科学博览 移动时代 手机上网 桌面壁纸 科技商情  

病毒报告:通过聊天室传播的VBS_TTFLOADER.A
 2000-12-28 11:26:26



病毒名称: VBS_TTFLOADER.A 类型: VBScript 破坏性:无 危险性:低

别名:VBS/Pica.worm.gen

此病毒为通过聊天室传播的VBScript文件,将感染用户的计算机作为服务器连接。它随机取得一个IP地址,并检查与其连接的所有计算机。此病毒没有破坏性行为。

解决方案:
1. 请手动删除在c:WINDOWSFONTS目录下病毒释放的文件:TTFLOADER.VBS、SNDLOAD.VBS和SNDVOL.VBS。
2. 删除下列注册键值:
HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN
TTFLOAD", "WSCRIPT.EXE
HKEY_CURRENT_USERSOFTWAREMICROSOFTWINDOWS SCRIPTING HOSTSETTINGS
TIMEOUT" , 0 , "REG_DWORD
HKEY_LOCAL_MACHINESOFTWAREMICROSOFTINTERNET EXPLORERMAINSTART,
"HTTP://WWW.ZONELABS.COM/"
3. 用趋势反病毒产品扫描并删除所有检测为VBS_TTFLOADER.A的文件。趋势产品客户请更新至最新病毒码,其他用户可使用趋势科技的免费在线杀毒工具HouseCall。

技术细节


是否流行: 否 引发机制: 执行带毒文件
行为: 通过聊天室传播 可检测病毒码: 800
可检测病毒引擎: 5.17 语种: 英语
平台: Windows 是否加密: 否
病毒大小: 11033 Bytes

描述:
此VBS 特洛伊木马首先在c:WINDOWSFONTS 目录下释放TTFLOADER.VBS、SNDLOAD.VBS和SNDVOL.VBS文件,同时在mIRC 目录释放SCRIPT.INI文件,使mIRC通过端口27374接收其他计算机数据。
两端的连接为主机和随机产生的IP地址,主机尝试并启动与感染用户的连接,使感染用户的计算机作为服务器。
该VBScript病毒等待来自端口的指令。若接收到"已连接(CONNECTED)"则响应"FTPenable!subhunt@@@21:::1$$$c:"。
若接收信息为"PWD",则响应"PWD14438136782715101980"。
若接收信息为"SERVER ENABLED"则运行SNDVOL.VBS文件,执行上传SNDLOAD.VBS文件到指定的IP地址。
若接收信息为"SERVER DISABLE"则会关闭该端口。
用于上传SNDLOAD.VBS文件的IP地址是随机产生的
产生的IP地址有:
172.128.xxx.1 到254
152.163-175.XXX.1 到254
205.163.xxx.1 到254
4.30-45.xxx.1 到254
151.196-206.xxx.1到254
63.194-207.xxx.1到254
216.76-79.xxx.1 到 254
3-243.xxx.xxx.1 到254
病毒还会在Windows注册表添加下列键值:
HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN
TTFLOAD, WSCRIPT.EXE
HKEY_CURRENT_USERSOFTWAREMICROSOFTWINDOWS SCRIPTING HOST
SETTINGSTIMEOUT , 0 , REG_DWORD
HKEY_LOCAL_MACHINESOFTWAREMICROSOFTINTERNET EXPLORERMAINSTART,
HTTP://WWW.ZONELABS.COM/



北京乐亿阳趋势
相关报道




本站检索



中华网推荐

·国家级治脑病新药思维源
·中藏药治疗脑病新突破
·治类风湿,强直性脊柱炎
·养肾·痛风·长寿
·肝病泌尿脑萎缩新药介绍
·强直性脊柱炎康复乐园
·让中医辩证不孕不育
·国医治股骨头坏死一绝
·乙肝为何久治不愈?
·二千元垄断批发做老板
·中医中药专治前列腺
·治牛皮癣白癜风已成现实
·专治痛风病的白衣天使
·不孕不育的杏林奇葩
·专卖店零售管理系统




   
网络教室编辑信箱