Kiman 駭蟲會破解網路共享目錄密碼和利用微軟漏洞進行散播,此駭蟲會開啟後門並允許駭客下載和執行檔案、執行DoS攻擊、搜尋有漏洞電腦進行散播...等等行為,請用戶記得修補漏洞,避免感染。
基本介紹
病毒名稱 Worm@W32.Kiman
病毒別名 W32.Kiman.A[symantec]
病毒型態 Worm , Backdoor , Network
病毒發現日期 2006/02/03
利用漏洞
MS04-011(英文)
MS04-011(中文)
影響平台 Windows 95/98/ME , Windows NT/2000/XP/2003
風險評估
散播程度:中
破壞程度:中
Worm@W32.Kiman 行為描述:
註:在Win95/98/me %System% 預設值為 C:\windows\System
在WinNT/2000/XP/2003 %System% 系統預設值為 C:\WinNT\System32
駭蟲會開啟後門,並允許駭客執行下列行為:
Download and execute files
Launch ACK, SYN, UDP, and ICMP Denial of Service (DoS) attacks
Scan the network for vulnerable hosts by means of port scanning
Add and delete network shares and disable DCOM
Reboot the infected computer
透過區域網路中的共享目錄進行散播。
透過病毒執行後,將駭蟲本身複製到%System%
dnsresolver.exe
修改登錄檔,如此開機即會啟動駭蟲。
HKEY_CURRENT_USER\Software\Microsoft\OLE
HKEY_LOCAL_MACHINE\Software\Microsoft\OLE
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"Domain Name Resolve Service" = "dnsresolver.exe"
修改登錄檔,改變系統組態。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"NameServer" = ""
"ForwardBroadcasts" = "0"
"IPEnableRouter" = "0"
"Domain" = ""
"SearchList" = ""
